腾讯云消息队列 CKafka 版提供完善的企业级安全防护体系,通过主子账号管理、严格的授权与鉴权机制,构建多层次、全方位的安全防护,确保消息传输的每一个环节都得到可靠保护,全面保障数据安全。
控制面权限(账号级)
通过访问管理服务(Cloud Access Management,CAM)主子账号、协作者等功能,实现主子账号之间以及企业间跨账号的授权服务,同时也可通过账号访问密钥管理实现 API 调用云资源的控制。
身份认证
通过控制台或者调用云 API 对 CKafka 资源进行访问,两种方式都需要先进行身份认证,通过认证后才能访问对应的资源。
调用云 API:需要验证访问密钥(AccessKey),访问密钥是用户访问腾讯云 API 进行身份验证时需要用到的安全凭证,由 SecretId 和 SecretKey 一起组成。详细介绍请参考账号访问密钥管理。
访问控制
通过访问管理服务(Cloud Access Management,CAM)可以在账号层面对 CKafka 资源进行精细化的权限管理。
用户与权限分配:根据企业组织架构,为不同职能部门成员创建独立的用户或角色,并分配专属安全凭证(控制台登录密码、云 API 密钥等)或临时凭证,确保安全可控地访问 CKafka 资源。
精细化权限控制:基于员工职能设置差异化的访问策略,精确控制每个用户/角色可执行的操作类型和可访问的资源范围,实现严格的权限隔离。
数据面权限(CKafka 资源级)
CKafka 通过 SASL 认证和 ACL 访问控制,实现双重安全防护。SASL 验证用户身份,ACL 精细化管控 Topic 读写权限,实现细粒度资源级别的访问隔离。
身份认证
SASL 是一种用于身份认证的安全协议,支持两种验证机制:
PLAIN 机制:采用明文方式进行用户名和密码的简单验证。
SCRAM 机制:服务端与客户端采用哈希算法对用户名与密码进行身份校验的安全认证,CKafka 支持 SCRAM-SHA-256 和 SCRAM_SHA_512 两种不同强度的加密算法。
消息队列 CKafka 版通过 SASL 协议来进行身份验证,开启 SASL 鉴权后,只有通过认证的用户才能访问 CKafka 资源。
访问控制
ACL(Access Control List)策略支持在资源层面对用户访问进行控制,通过在控制台自定义设置用户并配置如下类似策略:允许/拒绝用户 user 通过 IP 读/写 Topic 资源,利用“用户+策略”双重限制,实现 Topic 级别的生产/消费权限隔离,增强对公网/内网传输中的用户访问控制。详细的介绍和操作方法请参考配置 ACL 策略。
