操作场景
该任务指导您通过标签的鉴权方式,使用主账号给子账号进行某标签下资源的授权。得到权限的子账号可以获得具有相应标签下资源的控制能力。
当前消息队列 RocketMQ 版支持集群,Topic 和 Group 三种资源级别的标签管理。
操作前提
拥有腾讯云主账号,且已经开通腾讯云访问管理服务。
主账号下至少有一个子账号,且已根据 授予子账号访问权限 完成授权。
至少拥有一个 RocketMQ 集群资源实例。
至少拥有一个标签,若您没有,可以前往 标签控制台 > 标签列表 进行新建。
操作步骤
您可通过访问管理控制台的策略功能,将主账号拥有的、已经绑定标签的 RocketMQ 资源,通过按标签授权的方式授予子账号访问这些资源的读写权限。
注意:
由于集群和 Topic/Group 之间存在从属关系,即 Topic 和 Group 是存在于集群内的二级资源,因此在维护标签和按照标签授权时,请注意集群和 Topic/Group之间的资源标签关系。
如集群的标签为 TAG=1,Topic/Group 的标签为 TAG=2,这种情况下,如果只授予某子账号 TAG=2 标签的权限,则该子账号无法在控制台找到对应的 Topic/Group,因为 Topic/Group 在集群内,而子账号没有集群的标签权限。
所以在以上情况,需要同时给对应的 Topic/Group 打上 TAG=1 和 TAG=2 的标签,并授予该子账号 TAG=1 和 TAG=2 的标签权限。
步骤 1:新建资源时绑定标签
1. 使用 主账号 登录到 消息队列 RocketMQ 控制台,进入集群管理页面。
2. 在购买集群时可以填写资源标签。
3. 在创建 Topic/Group 时可以填写资源标签。
步骤 2:编辑已创建资源的标签
1. 对于已经创建好的集群,可以通过勾选目标资源,单击左上角的编辑资源标签,为集群绑定好资源标签。
2. 对于已经创建好的 Topic/Group,单击列表页的列头 资源标签 
步骤 3:按标签授权
2. 单击新建自定义策略,选择按标签授权。
3. 在可视化策略生成器中,在服务中输入 rocketmq 进行筛选,在结果中选择 消息队列 RocketMQ 版(trocket),在操作中选择全部操作,您也可以根据需要选择相应的操作。
4. 在选择标签位置,选择集群资源绑定的标签键和标签值。多个标签之间是或关系,只需要满足其中之一。
5. 在选择条件键位置,选择好条件键。条件键 resource_tag、request_tag 可多选,也可只选择其中一个。
6. 单击下一步,按需填写策略名称。
7. 单击选择用户或选择用户组,可选择需要授予资源权限的用户或用户组。
8. 单击完成,相关子账号就能够根据策略控制指定标签下的资源。
统一管理资源标签
1. 登录腾讯云 标签控制台。
2. 在左侧导航栏选择资源标签,选择好地域,并在 资源类型 中选择 消息队列 RocketMQ 版 > RocketMQ 实例。
3. 根据需要选择查询标签,单击查询资源。
4. 在结果中勾选需要的资源,单击编辑标签,即可批量进行标签的绑定或解绑操作。
其他授权方式
操作级授权
资源级授权
