腾讯云消息队列 RocketMQ 版提供完善的企业级安全防护体系,通过主子账号管理、严格的授权与鉴权机制,构建多层次、全方位的安全防护,确保消息传输的每一个环节都得到可靠保护,全面保障数据安全。
控制面权限(账号级)
通过访问管理服务(Cloud Access Management,CAM)主子账号、协作者等功能,实现主子账号之间以及企业间跨账号的授权服务,同时也可通过账号访问密钥管理实现 API 调用云资源的控制。
身份认证
通过控制台或者调用云 API 对 RocketMQ 资源进行访问,两种方式都需要先进行身份认证,通过认证后才能访问对应的资源。
调用云 API:需要验证访问密钥(AccessKey),访问密钥是用户访问腾讯云 API 进行身份验证时需要用到的安全凭证,由 SecretId 和 SecretKey 一起组成。详细介绍请参考账号访问密钥管理。
访问控制
通过访问管理服务(Cloud Access Management,CAM)可以在账号层面对 RocketMQ 资源进行精细化的权限管理。
用户与权限分配:根据企业组织架构,为不同职能部门成员创建独立的用户或角色,并分配专属安全凭证(控制台登录密码、云 API 密钥等)或临时凭证,确保安全可控地访问 RocketMQ 资源。
精细化权限控制:基于员工职能设置差异化的访问策略,精确控制每个用户/角色可执行的操作类型和可访问的资源范围,实现严格的权限隔离。
数据面权限(RocketMQ 资源级)
基于 ACL(访问控制列表)权限机制,实现对 RocketMQ 资源的细粒度权限管控。
通过创建角色,可为生产者与消费者分别配置独立的用户身份,每个角色均具备唯一的访问密钥。客户端通过配置对应的密钥,即可接入 RocketMQ 进行消息生产与消费。
支持针对不同角色,在集群级别或指定 Topic/Group 资源上分别授予生产或消费权限,从而实现多角色之间的权限隔离。在客户端执行消息发布或订阅操作时,系统将实时进行身份鉴权,未授权的操作将被拦截并拒绝执行。
