システム セキュリティを確保し、詳細な権限管理を実装するために、ApsaraMQ for RabbitMQ は 2 段階の認証メカニズムを使用します。このメカニズムでは、最初に AccessKey ペアベースの身元認証が実行され、次に Resource Access Management (RAM)ベースの権限認証が実行されます。このトピックでは、2 段階の認証メカニズムについて説明します。
AccessKey ペアベースの身元認証
ApsaraMQ for RabbitMQ は、接続確立時にのみ AccessKey ペアベースの身元認証を実行します。接続確立後に AccessKey ペアの有効期限が切れても、後続の動作には影響しません。
RAM ベースの権限認証
ユーザーIDが検証されると、ApsaraMQ for RabbitMQ は、RAM ユーザーを使用してメッセージの送信、キューと交換の宣言、およびメッセージ消費の開始を行う際に、RAM ユーザーの権限を検証します。接続確立後に RAM ユーザーの権限が変更された場合、前述の動作がブロックされる可能性があります。メッセージ消費の権限は、コンシューマーの起動時にのみ検証されます。コンシューマーが起動した後、ApsaraMQ for RabbitMQ ブローカーは、コンシューマーへのメッセージのプッシュを停止しません。
詳細については、「Amqp のシステム ポリシー」と「ApsaraMQ for RabbitMQ のカスタム ポリシー」をご参照ください。