雲訊息佇列 Kafka 版自訂權限原則參考

更新時間:
Copy as MD

如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。本文介紹雲訊息佇列 Kafka 版使用自訂權限原則的情境和策略樣本。

什麼是自訂權限原則

在基於RAM的存取控制體系中,自訂權限原則是指在系統權限原則之外,您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。

  • 建立自訂權限原則後,需為RAM使用者、使用者組或RAM角色綁定權限原則,這些RAM身份才能獲得權限原則中指定的存取權限。

  • 已建立的權限原則支援刪除,但刪除前需確保該策略未被引用。如果該權限原則已被引用,您需要在該權限原則的引用記錄中移除授權。

  • 自訂權限原則支援版本控制,您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。

操作文檔

自訂權限原則

雲訊息佇列 Kafka 版支援以下自訂權限原則。

Action名稱

許可權說明

是否為唯讀類許可權

ListInstance

查看執行個體

StartInstance

部署執行個體

UpdateInstance

更新執行個體配置

ReleaseInstance

釋放執行個體

ListTopic

查看Topic

CreateTopic

建立Topic

UpdateTopic

更新Topic配置

DeleteTopic

刪除Topic

ListGroup

查看Group

CreateGroup

建立Group

UpdateGroup

更新Group配置

DeleteGroup

刪除Group

QueryMessage

查詢訊息

SendMessage

發送訊息

DownloadMessage

下載訊息

CreateMessageSearch

開通訊息檢索

OperateMessageSearch

啟停訊息檢索

ListMessageSearch

查看訊息檢索

DeleteMessageSearch

刪除訊息檢索任務

CreateDeployment

  • 建立FC Sink Connector任務

  • 建立MaxCompute Sink Connector任務

  • 建立OSS Sink Connector任務

  • 建立Elasticsearch Sink Connector任務

  • 建立MySQL Source Connector任務

  • 建立DLA Sink Connector任務

DeleteDeployment

  • 刪除FC Sink Connector任務

  • 刪除MaxCompute Sink Connector任務

  • 刪除OSS Sink Connector任務

  • 刪除Elasticsearch Sink Connector任務

  • 刪除MySQL Source Connector任務

  • 刪除DLA Sink Connector任務

ListDeployments

查看Connector任務

UpdateDeploymentRemark

修改Connector任務說明

GetDeploymentLog

擷取Connector任務作業記錄

OperateDeployment

啟停Connector任務

CreateOtsSinkDeployment

建立Tablestore Sink Connector任務

OperateOtsSinkDeployment

啟停Tablestore Sink Connector任務

DeleteOtsSinkDeployment

刪除Tablestore Sink Connector任務

CreateAdbSinkDeployment

建立AnalyticDB Sink Connector任務

OperateAdbSinkDeployment

啟停AnalyticDB Sink Connector任務

DeleteAdbSinkDeployment

刪除AnalyticDB Sink Connector任務

EnableAcl

開啟ACL

CreateAcl

建立ACL

DeleteAcl

刪除ACL

ListAcl

查詢ACL

CreateSaslUser

建立SASL使用者

DeleteSaslUser

刪除SASL使用者

ListSaslUser

查詢SASL使用者

CreateETLTask

建立資料處理任務

ListETLTask

查詢資料處理任務

DeleteETLTask

刪除資料處理任務

自訂權限原則樣本

以自己建立的自訂權限原則AliyunKafkaCustomAccess為例,被授予該權限原則的RAM使用者只具有執行個體alikafka_post-cn-xxx的查看Topic、查看Group、查詢訊息和下載訊息的控制台和API的許可權。策略內容如下:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
              "alikafka:ListTopic",
              "alikafka:ListGroup",
              "alikafka:QueryMessage",
              "alikafka:DownloadMessage"
                       ],
            "Resource": "acs:alikafka:*:*:alikafka_post-cn-xxx",
            "Effect": "Allow"
        }
    ]
}

相關文檔

如何對RAM使用者授權,請參見RAM主子帳號授權RAM跨雲帳號授權