操作场景
该任务指导您使用主账号给子账号进行资源级授权,得到权限的子账号可以获得对某个资源的控制能力。
操作前提
拥有腾讯云主账号,且已经开通腾讯云访问管理服务。
主账号下至少有一个子账号,且已根据 子账号获取访问授权 完成授权。
至少拥有一个 Pulsar 实例。
操作步骤
您可通过访问管理控制台的策略功能,将主账号拥有的 Pulsar 资源授权给子账号,详细 Pulsar 资源授权给子账号操作如下。本示例以授权一个集群资源给子账号为例,其他类型资源操作步骤类似。
步骤1:获取 Pulsar 集群的 ID
1. 使用主账号登录到 消息队列 Pulsar 版控制台,选择已有的集群实例并单击进入详情页。
2. 在基本信息中,字段 ID 即为当前 Pulsar 集群的 ID。
步骤2:新建授权策略
2. 单击新建自定义策略,选择策略生成器创建。
3. 在可视化策略生成器中,保持效果为允许,在服务中输入 TDMQ 进行筛选,在结果中选择消息队列TDMQ (tdmq)。
4. 在操作中选择全部操作,您也可以根据自己的需要选择操作类型。
说明:
部分接口暂时不支持资源鉴权,以控制台页面展示为准。支持资源级授权的 API 列表可以参考本文档附录中的支持资源级授权的接口列表。
5. 在资源中选择特定资源,找到 添加自定义资源六段式,在弹出的侧边对话框中,填入集群前缀和资源ID,获取流程可参见 步骤1。
6. 单击下一步,按需填写策略名称。
7. 单击选择用户或选择用户组,可选择需要授予资源权限的用户或用户组。
8. 单击完成,授予资源权限的子账号就拥有了访问相关资源的能力。
支持资源级授权的 API 列表
TDMQ Pulsar 版支持资源级授权,您可以指定子账号拥有特定资源的接口权限。
支持资源级授权的接口列表如下:
API名称 | API描述 | 资源类型 | 资源六段式示例 |
DescribeClusterDetail | 获取集群详细信息 | cluster | qcs::tdmq:${region}:uin/${uin}:cluster/${clusterId} |
DescribeClusters | 获取集群列表 | cluster | qcs::tdmq:${region}:uin/${uin}:cluster/${cluster} |
ModifyCluster | 修改集群 | cluster | qcs::tdmq:${region}:uin/${uin}:cluster/${clusterId} |
DeleteCluster | 删除集群 | cluster | qcs::tdmq:${region}:uin/${uin}:cluster/${clusterId} |
CreateRole | 新增角色 | cluster | qcs::tdmq:${region}:uin/${uin}:cluster/${clusterId} |
DeleteRoles | 角色删除 | cluster | qcs::tdmq:${region}:uin/${uin}:cluster/${clusterId} |
CreateEnvironment | 创建环境 | cluster | qcs::tdmq:${region}:uin/${uin}:cluster/${clusterId} |
CreateTopic | 新增主题 | environment | qcs::tdmq:${region}:uin/${uin}:environment/${clusterId}/${environmentId} |
ModifyEnvironmentAttributes | 修改环境属性 | environment | qcs::tdmq:${region}:uin/${uin}:environment/${clusterId}/${environmentId} |
DeleteEnvironments | 删除环境 | environment | qcs::tdmq:${region}:uin/${uin}:environment/${clusterId}/${environmentId} |
DescribeEnvironments | 获取环境列表 | environmentId | qcs::tdmq:${region}:uin/${uin}:environmentId/${clusterId}/${environmentId} |
DescribeEnvironmentAttributes | 获取环境属性 | environmentId | qcs::tdmq:${region}:uin/${uin}:environmentId/${clusterId}/${environmentId} |
DescribeEnvironmentRoles | 获取环境角色列表 | environmentRoles | qcs::tdmq:${region}:uin/${uin}:environmentRoles/${clusterId}/${environmentId}/${roleName} |
CreateEnvironmentRole | 创建环境角色授权 | environmentRole | qcs::tdmq:${region}:uin/${uin}:environmentRole/${clusterId}/${environmentId}/${roleName} |
DeleteEnvironmentRoles | 删除环境角色授权 | environmentRole | qcs::tdmq:${region}:uin/${uin}:environmentRole/${clusterId}/${environmentId}/${roleName} |
ModifyEnvironmentRole | 修改环境角色授权 | environmentRole | qcs::tdmq:${region}:uin/${uin}:environmentRole/${clusterId}/${environmentId}/${roleName} |
DescribeMsgTrace | 消息轨迹 | topic | qcs::tdmq:${region}:uin/${uin}:topic/${clusterId}/${environmentId}/${topicName} |
DescribeMsg | 消息详情 | topic | qcs::tdmq:${region}:uin/${uin}:topic/${clusterId}/${environmentId}/${topicName} |
DescribeTopicMsgs | 消息查询 | topic | qcs::tdmq:${region}:uin/${uin}:topic/${clusterId}/${environmentId}/${topicName} |
DescribeTopics | 查询主题列表 | topic | qcs::tdmq:${region}:uin/${uin}:topic/${clusterId}/${environmentId}/${topicName} |
DescribeProducers | 获取生产者列表 | topic | qcs::tdmq:${region}:uin/${uin}:topic/${clusterId}/${environmentId}/${topicName} |
DeleteTopics | 批量删除topics | topic | qcs::tdmq:${region}:uin/${uin}:topic/${clusterId}/${environmentId}/${topicSets.topicName} |
ModifyTopic | 修改主题 | topic | qcs::tdmq:${region}:uin/${uin}:topic/${clusterId}/${environmentId}/${topicName} |
CreateSubscription | 创建一个 topic 的订阅关系 | topic | qcs::tdmq:${region}:uin/${uin}:topic/${clusterId}/${environmentId}/${topicName} |
ResetMsgSubOffsetByTimestamp | 根据时间戳进行消息回溯,精确到毫秒 | subscription | qcs::tdmq:${region}:uin/${uin}:subscription/$clusterId/$environmentId/$topicName/$subscriptionName |
DeleteSubscriptions | 删除订阅关系 | subscription | qcs::tdmq:${region}:uin/${uin}:subscription/${clusterId}/${environmentId}/${topicName}/${subscriptionName} |
DescribeRealTimeSubscription | 实时消费订阅列表 | subscription | qcs::tdmq:${region}:uin/${uin}:subscription/${clusterId}/${environmentId}/${topicName}/${subscriptionName} |
DescribeSubscriptions | 消费订阅列表 | subscription | qcs::tdmq:${region}:uin/${uin}:subscription/${clusterId}/${environmentId}/${topicName}/${subscriptionName} |
ModifyRole | 角色修改 | role | qcs::tdmq:${region}:uin/${uin}:role/${clusterId}/${roleName} |
DescribeRoles | 获取角色列表 | role | qcs::tdmq:${region}:uin/${uin}:role/${clusterId}/${roleName} |
不支持资源级授权的 API 列表
API 名称 | API 描述 |
CreateCluster | 创建集群 |
