Kebijakan kustom untuk ApsaraMQ for RocketMQ - ApsaraMQ for RocketMQ

Jika kebijakan sistem tidak memenuhi kebutuhan Anda, Anda dapat mengonfigurasi kebijakan kustom untuk menerapkan prinsip hak istimewa minimal. Kebijakan ini memungkinkan kontrol yang lebih rinci atas izin dan meningkatkan keamanan akses sumber daya. Topik ini menjelaskan skenario penggunaan kebijakan kustom untuk ApsaraMQ for RocketMQ serta menyediakan contoh kebijakan kustom.

Apa itu kebijakan kustom?

Kebijakan Manajemen Akses Sumber Daya (RAM) terbagi menjadi dua jenis: kebijakan sistem dan kebijakan kustom. Anda dapat mengelola kebijakan kustom sesuai dengan kebutuhan bisnis Anda.

Setelah membuat kebijakan kustom, Anda harus melampirkannya ke pengguna RAM, grup pengguna RAM, atau peran RAM agar izin yang ditentukan dalam kebijakan dapat diberikan kepada entitas utama.
Anda dapat menghapus kebijakan RAM yang tidak dilampirkan ke entitas utama. Namun, jika kebijakan RAM telah dilampirkan, Anda harus melepaskannya dari entitas utama sebelum menghapusnya.
Kebijakan kustom mendukung kontrol versi. Anda dapat mengelola versi kebijakan kustom menggunakan mekanisme manajemen versi yang disediakan oleh RAM.

Referensi

Contoh kebijakan kustom

Penting

Jika Anda menyalin kode contoh, ganti bidang-bidang berikut:

{regionId}: Gantinya dengan ID wilayah tempat instance ApsaraMQ for RocketMQ Anda berada. Untuk informasi lebih lanjut, lihat Endpoint.
{accountId}: Gantinya dengan ID akun Alibaba Cloud Anda.
{InstanceId}: Gantinya dengan ID instance ApsaraMQ for RocketMQ Anda.
{ConsumerGroupId}: Gantinya dengan ID grup konsumen Anda.
{TopicName}: Gantinya dengan nama topik Anda.

Contoh 1: Berikan semua izin pada sebuah instance kepada pengguna RAM

{
    "Version": "1",
    "Statement": [
       {
            "Effect": "Allow",
            "Action": [
                "rocketmq:ListInstances"
            ],
            "Resource": [
                "acs:rocketmq:{regionId}:{accountId}:instance/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rocketmq:*"
            ],
            "Resource": [
                "acs:rocketmq:{regionId}:{accountId}:instance/{InstanceId}*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rocketmq:ListAnalyticsQuery"
            ],
            "Resource": [
                "acs:rocketmq:*:{#accountId}:*/*"
            ]
        }
    ]
}

Contoh 2: Berikan izin kepada pengguna RAM untuk membuat instance

{  
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rocketmq:CreateInstance"
            ],
            "Resource": [
                "acs:rocketmq:{regionId}:{accountId}:instance/*" 
            ]
        }
    ]
}

Contoh 3: Berikan izin kepada pengguna RAM untuk menghapus topik tertentu

{  
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rocketmq:DeleteTopic"
            ],
            "Resource": [
                "acs:rocketmq:{regionId}:{accountId}:instance/{InstanceId}/topic/{TopicName}" 
            ]
        }
    ]
}

Contoh 4: Berikan semua izin pada diagnostik instance kepada pengguna RAM

{
    "Version":"1",
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "rocketmq:GetAnalyticsQuery",
                "rocketmq:SubmitAnalyticsQuery",
                 "rocketmq:ListAnalyticsQuery"
            ],
            "Resource":[
                 "acs:rocketmq:*:{#accountId}:*/*"
            ]
        }
    ]
}

Referensi

Untuk menggunakan kebijakan kustom, Anda harus memahami persyaratan manajemen izin bisnis Anda dan informasi otorisasi tentang ApsaraMQ for RocketMQ. Untuk informasi lebih lanjut, lihat Otorisasi RAM.