使用ApsaraMQ for RabbitMQ時,為了保障系統的安全性與許可權管理的精細化,系統設計了兩環鑒權校正機制:基於AccessKey ID/AccessKey Secret的身分識別驗證和基於RAM的行為許可權驗證,分別從使用者身分識別驗證和操作許可權控制兩個維度保證服務的安全性。本文介紹這兩環檢驗的驗證機制。
基於AccessKey ID/AccessKey Secret的身分識別驗證
ApsaraMQ for RabbitMQ通過AccessKey ID和AccessKey Secret對使用者身份進行驗證,僅當建立串連(Connection)時觸發驗證,在已經建立好的串連(Connection)中,AccessKey ID、AccessKey Secret失效並不會影響其後續行為。
基於RAM的行為許可權驗證
完成身分識別驗證後,會進一步對RAM使用者的行為許可權進行驗證,ApsaraMQ for RabbitMQ會在發送訊息、聲明Queue/Exchange、啟動消費等操作中進行檢查,在串連(Connection)建立後,如果RAM使用者的許可權發生變化,可能會導致上述行為被阻止。對於已經啟動的消費者來說,服務端並不會阻止向其推送訊息,消費許可權只會在消費者啟動時進行檢查。
RAM使用者的更多行為許可權,請參見雲訊息佇列 RabbitMQ 版系統權限原則參考和雲訊息佇列 RabbitMQ 版自訂權限原則參考。