ApsaraMQ for RocketMQ menyediakan dua mekanisme untuk mengamankan resource messaging Anda: Resource Access Management (RAM) untuk izin tingkat akun atas operasi konsol dan API, serta access control lists (ACLs) untuk pembatasan tingkat instans terhadap akses jaringan dan autentikasi klien. Gunakan mekanisme ini secara terpisah atau bersamaan guna membangun keamanan berlapis bagi infrastruktur messaging Anda.
Pilih mekanisme kontrol akses
Gunakan tabel berikut untuk menentukan mekanisme yang sesuai dengan kebutuhan Anda. Anda dapat menggabungkan beberapa mekanisme untuk keamanan berlapis.
| Requirement | Mechanism | What it controls |
|---|---|---|
| Mengontrol siapa yang dapat mengelola resource ApsaraMQ for RocketMQ melalui konsol atau API | RAM | Operasi API dan akses konsol |
| Menghindari berbagi pasangan AccessKey Akun Alibaba Cloud Anda | RAM | Delegasi tingkat akun kepada Pengguna RAM |
| Membatasi akses instans hanya ke alamat IP tertentu | ACL – Daftar putih alamat IP | Akses tingkat jaringan ke suatu instans |
| Mengontrol topik atau kelompok mana yang dapat dipublikasikan atau di-subscribe oleh klien | ACL – autentikasi pengguna | Izin publish dan subscribe tingkat klien |
RAM
RAM menyediakan kontrol izin tingkat akun. Alih-alih membagikan pasangan AccessKey Akun Alibaba Cloud Anda, buatlah Pengguna RAM dengan hanya izin yang mereka butuhkan.
Dengan RAM, berikan izin kepada Pengguna RAM atau kelompok pengguna untuk melakukan operasi tertentu di konsol ApsaraMQ for RocketMQ atau melalui Operasi API—misalnya, membuat topik atau menghapus kelompok.
Apa yang dikontrol oleh RAM: Operasi API dan konsol ApsaraMQ for RocketMQ.
Izin default:
Akun Alibaba Cloud — Semua izin diberikan secara default. Tidak diperlukan otorisasi tambahan.
Pengguna RAM — Tidak memiliki izin secara default. Pengguna RAM hanya dapat mengakses resource setelah Anda secara eksplisit memberikan izin yang diperlukan.
Untuk petunjuk penyiapan, lihat Gunakan RAM untuk kontrol akses.
ACL
ACL menyediakan kontrol akses tingkat instans melalui dua mekanisme independen: daftar putih alamat IP dan autentikasi pengguna. Gunakan salah satu atau keduanya secara bersamaan untuk keamanan berlapis.
Daftar putih alamat IP
Daftar putih alamat IP membatasi alamat IP klien mana yang dapat terhubung ke instans ApsaraMQ for RocketMQ.
Daftar putih alamat IP berlaku untuk semua koneksi, baik klien terhubung melalui internet maupun melalui VPC.
Perilaku default: Semua alamat IP klien dapat mengakses instans.
Jika daftar putih dikonfigurasi: Hanya alamat IP yang ada dalam daftar putih yang dapat mengakses instans.
Autentikasi pengguna
Autentikasi pengguna mengontrol apakah klien dapat mengakses instans ApsaraMQ for RocketMQ dan apakah klien tersebut dapat mempublikasikan pesan ke atau berlangganan pesan dari topik atau kelompok tertentu. ApsaraMQ for RocketMQ mendukung dua metode autentikasi:
| Method | How it works | Scope |
|---|---|---|
| Intelligent authentication (default) | Sistem melakukan autentikasi client menggunakan username dan password yang ditetapkan untuk instans tersebut. Setelah autentikasi, client dapat mempublikasikan dan berlangganan ke semua topik dan kelompok pada instans tersebut. | Semua topik dan kelompok |
| ACL-based authentication | Buat pengguna ACL dan berikan izin untuk mempublikasikan atau berlangganan topik atau kelompok tertentu. Client melakukan autentikasi menggunakan username dan password pengguna ACL tersebut. | Hanya topik dan kelompok tertentu |
Gunakan intelligent authentication ketika semua klien pada suatu instans memerlukan tingkat akses yang sama. Beralihlah ke ACL-based authentication ketika klien yang berbeda memerlukan izin berbeda pada instans yang sama.
Fitur autentikasi pengguna tidak diaktifkan secara default pada setiap instans ApsaraMQ for RocketMQ. Jika instans Anda belum mengaktifkan autentikasi pengguna, submit a ticket untuk meminta aktivasi. Titik masuk kontrol akses di konsol hanya akan muncul setelah permohonan Anda disetujui.
Untuk petunjuk penyiapan, lihat Gunakan ACL untuk kontrol akses.