名词解释
RocketMQ 的“角色”是 RocketMQ 内专有的概念,区别于腾讯云的“角色”,是用户自行在 RocketMQ 内部做权限划分的最小单位,用户可以添加多个角色并为其赋予不同集群下的生产和消费权限。每种角色都有其对应的唯一密钥,用户可以通过在客户端中添加密钥来访问 RocketMQ 进行消息的生产消费。
使用场景如下:
用户需要安全地使用 RocketMQ 进行消息的生产消费。
用户需要对不同的集群设置不同角色的生产消费权限。
例如:一个公司有 A 部门和 B 部门,A 部门的系统产生交易数据,B 部门的系统根据这些交易数据做数据分析和展示。那么遵循权限最小化原则,可以配置两种角色,A 部门角色只授予往交易系统集群中生产消息的权限,B 部门则只授予消费消息的权限。这样可以很大程度避免由于权限不清带来的数据混乱、业务脏数据等问题。
操作步骤
添加角色并授权
1. 登录 RocketMQ 控制台。
2. 在左侧导航栏选择集群列表,选择地域后,点击要配置角色的集群的“ ID ”,进入基本信息页面。
3. 在页面上方选择集群权限页签,单击添加角色,输入角色名称,并配置好生产和消费权限。
4. 单击保存,完成角色创建。
检查权限是否生效
1. 在集群权限列表复制角色密钥。
注意
密钥泄露很可能导致您的数据泄露,请妥善保管您的密钥。
2. 将复制的角色密钥添加到客户端的参数中。如何在客户端代码中添加密钥参数请参考 RocketMQ 的 代码示例。
以下给出一种推荐的方式。
2.1 声明
ACL_SECRET_KEY和ACL_SECRET_ACCESS两个字段,使用各类框架的话建议从配置文件中读取。private static final String ACL_ACCESS_KEY = "eyJr****";private static final String ACL_SECRET_KEY = "xxx"; /
2.2 声明一个静态函数,用于载入一个 RocketMQ Client 的
RPCHook对象。static RPCHook getAclRPCHook() {return new AclClientRPCHook(new SessionCredentials(ACL_ACCESS_KEY, ACL_SECRET_KEY));}
2.3 在创建 RocketMQ
producer、pushConsumer或pullConsumer的时候,引入 RPCHook对象。
以下为创建一个 producer 的代码示例:DefaultMQProducer producer = new DefaultMQProducer("rocketmq-mw***|namespace", "ProducerGroupName", getAclRPCHo
3. 运行配置好的客户端访问对应集群中的 Topic 资源,按照刚刚配置的权限进行生产或消费,看是否会产生没有权限的报错信息,如果没有即代表配置成功。
编辑权限
1. 在集群权限列表中,找到需要编辑权限的角色,单击操作列的编辑。
2. 在编辑的弹框中,修改权限信息后,单击保存。
删除角色
注意
删除角色后,原先使用该角色进行生产或消费消息的密钥( accessKey 和 accessSecret )将立即失效。请确保当前业务已经没有使用该角色进行消息的生产消费,否则可能会出现客户端无法生产消费而导致的异常。
1. 在集群权限列表中,找到需要删除权限的角色,单击操作列的删除。
2. 在删除的弹框中,单击删除,即可删除该角色。
