ApsaraMQ for RocketMQ memungkinkan akun Alibaba Cloud memberikan otorisasi kepada pengguna Resource Access Management (RAM) untuk menggunakan sumber daya topik. Hal ini membantu mencegah risiko yang disebabkan oleh kemungkinan terungkapnya pasangan AccessKey dari akun Alibaba Cloud. Hanya pengguna RAM yang berwenang yang dapat mengelola sumber daya di Konsol Manajemen ApsaraMQ for RocketMQ, serta mempublikasikan dan berlangganan pesan melalui SDK dan operasi API.
Skenario
Perusahaan A telah membeli ApsaraMQ for RocketMQ, dan karyawannya perlu melakukan operasi pada sumber daya seperti instance, topik, dan grup. Setiap karyawan memiliki tanggung jawab yang berbeda, termasuk pembuatan sumber daya, penerbitan pesan, dan langganan pesan. Oleh karena itu, setiap peran memerlukan izin yang sesuai.
Berikut adalah penjelasan skenario spesifik:
- Untuk alasan keamanan, Perusahaan A tidak ingin mengungkapkan pasangan AccessKey dari akun Alibaba Cloud kepada karyawannya. Sebagai gantinya, Perusahaan A akan membuat pengguna RAM yang berbeda untuk setiap karyawan dan memberikan izin yang sesuai kepada pengguna RAM tersebut.
- Pengguna RAM hanya dapat menggunakan sumber daya yang diizinkan bagi mereka. Penggunaan sumber daya dan biaya tidak dihitung secara terpisah untuk pengguna RAM; semua biaya ditagihkan ke akun Alibaba Cloud milik Perusahaan A.
- Perusahaan A dapat mencabut izin yang diberikan kepada pengguna RAM dan menghapus pengguna RAM kapan saja.
Dalam skenario ini, akun Alibaba Cloud milik Perusahaan A dapat memberikan izin granular pada sumber daya kepada karyawannya.
Prosedur
- Buat pengguna RAM menggunakan akun Alibaba Cloud milik Perusahaan A.Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
- Opsional:Buat kebijakan kustom untuk pengguna RAM baru menggunakan akun Alibaba Cloud milik Perusahaan A.
Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
ApsaraMQ for RocketMQ mendukung pengaturan izin untuk instance, topik, dan grup. Untuk informasi lebih lanjut, lihat Kebijakan Kustom untuk ApsaraMQ for RocketMQ.
- Berikan izin kepada pengguna RAM menggunakan akun Alibaba Cloud milik Perusahaan A.Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Apa yang harus dilakukan selanjutnya
Setelah Anda membuat pengguna RAM menggunakan akun Alibaba Cloud, Anda dapat mengirimkan nama pengguna RAM dan kata sandi atau informasi pasangan AccessKey pengguna RAM kepada karyawan lainnya. Karyawan tersebut dapat melakukan langkah-langkah berikut untuk masuk ke konsol atau memanggil operasi API sebagai pengguna RAM:
- Masuk ke konsol.
- Buka halaman Masuk Pengguna RAM di browser.
- Di halaman RAM User Logon, masukkan nama masuk pengguna RAM, klik Next, masukkan kata sandi, lalu klik Login.Catatan Nama masuk pengguna RAM dalam format
<$username>@<$AccountAlias>atau<$username>@<$AccountAlias>.onaliyun.com.<$AccountAlias>adalah alias akun. Jika alias akun belum diatur, ID akun Alibaba Cloud digunakan. - Di bagian atas halaman utama Konsol Manajemen Alibaba Cloud, masukkan ApsaraMQ forRocketMQ di kotak pencarian. Klik hasil pencarian untuk membuka konsol ApsaraMQ for RocketMQ.
- Panggil operasi API sebagai pengguna RAM.
Dalam kode yang Anda gunakan untuk memanggil operasi API, sertakan ID AccessKey dan rahasia AccessKey pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pasangan AccessKey.