メッセージを送受信する前に、Alibaba Cloud 公式ウェブサイトで ApsaraMQ for RocketMQ をアクティブ化してください。組織で Resource Access Management (RAM) ユーザーを使用している場合は、コンソールへのアクセス、API オペレーションの呼び出し、または SDK の使用に必要な権限を付与します。
前提条件
開始する前に、以下を確認してください。
実名認証が完了した Alibaba Cloud アカウント。詳細については、「」および「Alibaba Cloud にサインアップする」をご参照ください。
ステップ 1: ApsaraMQ for RocketMQ のアクティブ化
ApsaraMQ for RocketMQ コンソールにログインします。
ダイアログボックスで、[メッセージキューの有効化 >>] をクリックします。
サービスの有効化ページで、[メッセージキュー (MQ) 利用規約] を選択し、次に [今すぐ有効化] をクリックします。
ステップ 2: RAM ユーザーへの権限付与
ApsaraMQ for RocketMQ へのアクセスに Alibaba Cloud アカウント (RAM ユーザーではない) のみを使用する場合は、このステップをスキップしてください。
RAM 管理者として RAM コンソールにログインし、対象の RAM ユーザーにポリシーをアタッチします。
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、ID > ユーザー を選択します。
[ユーザー] ページで、目的の RAM ユーザーを見つけ、[操作] 列にある [権限の追加] をクリックします。
複数の RAM ユーザーに一度に権限を付与するには、ユーザーを選択し、ページの下部にある [権限の追加] をクリックします。
「[権限の付与]」 パネルで、以下のパラメーターを設定します。
リソース範囲: 権限付与の範囲を選択します。
[アカウント]: 権限付与は、現在の Alibaba Cloud アカウントの下にあるすべてのリソースに適用されます。
リソースグループ: 権限付与は、特定のリソースグループ内のリソースにのみ適用されます。
重要[リソースグループ] を選択した場合、クラウドサービスがリソースグループをサポートしていることを確認してください。 詳細については、「リソースグループと連携するサービス」をご参照ください。 例については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
[プリンシパル]: システムはデフォルトで現在の RAM ユーザーを選択します。正しいユーザーが選択されていることを確認してください。
ポリシー: アタッチするポリシーを1つ以上選択します。ApsaraMQ for RocketMQは、システムポリシーとカスタム権限ポリシーの両方をサポートしています。
システムポリシーは Alibaba Cloud によって事前定義されており、変更できません。システムポリシーのバージョン更新は Alibaba Cloud が維持します。サポートされているサービスの一覧については、「RAM と連携するサービス」をご参照ください。
説明システムは
AdministratorAccessやAliyunRAMFullAccessなどの高リスクポリシーにフラグを立てます。厳密に必要な場合を除き、これらのポリシーのアタッチは避けてください。カスタムポリシーはユーザー定義です。要件に基づいて作成、更新、または削除します。詳細については、「カスタムポリシーを作成する」をご参照ください。
[権限を付与] をクリックします。
「[閉じる]」をクリックします。
ApsaraMQ for RocketMQ のシステムポリシー
RAM ユーザーが必要とするアクセスレベルに基づいてポリシーを選択します。
管理
| ポリシー名 | 説明 |
|---|---|
AliyunMQFullAccess | フル管理アクセス。Alibaba Cloud アカウントレベルの権限と同等です。すべてのコンソール操作、メッセージ送信、およびメッセージサブスクリプションをカバーします。 |
AliyunMQReadOnlyAccess | 読み取り専用アクセス。コンソールまたは API オペレーションを介したリソース情報の表示を許可します。リソースの変更は許可しません。 |
アプリケーション開発
| ポリシー名 | 説明 |
|---|---|
AliyunMQPubOnlyAccess | 送信専用アクセス。Alibaba Cloud アカウント下のすべてのリソースを使用して、SDK を介したメッセージ送信を許可します。 |
AliyunMQSubOnlyAccess | サブスクライブ専用アクセス。Alibaba Cloud アカウント下のすべてのリソースを使用して、SDK を介したメッセージサブスクリプションを許可します。 |
システムポリシーは広範な権限を付与します。たとえば、AliyunMQFullAccess はすべての ApsaraMQ for RocketMQ リソースをカバーします。特定のコンソールで RAM ユーザーをトピックの管理のみに制限するなど、特定のリソースタイプに対するきめ細かなアクセス制御を行うには、代わりにカスタムポリシーを使用してください。詳細については、「ApsaraMQ for RocketMQ のカスタムポリシー」をご参照ください。
ロールごとの推奨ポリシー
RAM ユーザーのニーズを満たす最も制限の厳しいポリシーを割り当てます。
| ロール | 推奨ポリシー | アクセススコープ |
|---|---|---|
| メッセージのみを送信する開発者 | AliyunMQPubOnlyAccess | SDK メッセージ送信 |
| メッセージのみを消費する開発者 | AliyunMQSubOnlyAccess | SDK メッセージサブスクリプション |
| リソースを監視する運用担当者 | AliyunMQReadOnlyAccess | コンソールおよび API 読み取り専用 |
| サービス全体を管理する管理者 | AliyunMQFullAccess | すべてのコンソール操作、送信、およびサブスクリプション |
システムポリシーのいずれも要件に合致しない場合は、特定のリソースと操作を対象とするカスタムポリシーを作成します。
次のステップ
ApsaraMQ for RocketMQ コンソールに移動してリソースを作成します。詳細については、「リソースの作成」をご参照ください。