腾讯云消息队列 RabbitMQ 版提供完善的企业级安全防护体系,通过主子账号管理、严格的授权与鉴权机制,构建多层次、全方位的安全防护,确保消息传输的每一个环节都得到可靠保护,全面保障数据安全。
控制面权限(账号级)
通过访问管理服务(Cloud Access Management,CAM)主子账号、协作者等功能,实现主子账号之间以及企业间跨账号的授权服务,同时也可通过账号访问密钥管理实现 API 调用云资源的控制。
身份认证
通过控制台或者调用云 API 对 RabbitMQ 资源进行访问,两种方式都需要先进行身份认证,通过认证后才能访问对应的资源。
调用云 API:需要验证访问密钥(AccessKey),访问密钥是用户访问腾讯云 API 进行身份验证时需要用到的安全凭证,由 SecretId 和 SecretKey 一起组成。详细介绍请参考账号访问密钥管理。
访问控制
通过访问管理服务(Cloud Access Management,CAM)可以在账号层面对 RabbitMQ 资源进行精细化的权限管理。
用户与权限分配:根据企业组织架构,为不同职能部门成员创建独立的用户或角色,并分配专属安全凭证(控制台登录密码、云 API 密钥等)或临时凭证,确保安全可控地访问 RabbitMQ 资源。
精细化权限控制:基于员工职能设置差异化的访问策略,精确控制每个用户/角色可执行的操作类型和可访问的资源范围,实现严格的权限隔离。
数据面权限(RabbitMQ 资源级)
RabbitMQ 可以通过用户与权限管理功能为每个生产者和消费者配置独立的用户身份,每个用户拥有独立的用户名和密码。通过为不同用户赋予不同的 Vhost 和 Vhost 下不同资源的操作权限,包括配置权限和读写权限,以达到不同用户之间权限隔离的目的。
配置权限:影响 Exchange、Queue 的声明和删除。
读写权限:影响从 Queue 里读取消息,向 Exchange 发送消息以及 Queue 和 Exchange 的绑定 (binding) 操作。
当客户端进行消息生产或消费时,系统会进行鉴权,未被授权的操作将被拒绝。
