安全价值
RocketMQ的安全对用户有以下几个重要价值:
- 保护数据安全:RocketMQ的安全机制可以保护消息的机密性和完整性,防止敏感数据泄露或被篡改。这对于处理包含个人信息、商业机密等敏感数据的应用程序非常重要。
- 防止未经授权的访问:RocketMQ的访问控制功能可以限制对消息队列的访问权限,只有具有相应权限的用户才能发送和消费消息。这可以防止未经授权的用户访问和操作消息队列,保护系统的安全性。
- 合规性要求:对于一些行业和法规要求较高的场景,如金融、医疗等,RocketMQ的安全特性可以帮助用户满足合规性要求,确保数据的安全和合规性。
- 提供安全审计功能:RocketMQ的安全审计功能可以记录和追踪对消息队列的操作,包括发送、消费、订阅等。这可以帮助用户监控和检测潜在的安全风险,及时发现和应对安全事件。
- 增强用户信任:通过提供安全性能和功能,RocketMQ可以增强用户对系统的信任感。用户可以放心地使用RocketMQ来处理重要的消息传输和处理任务,而不必担心数据的安全问题。
综上所述,RocketMQ的安全性对用户来说具有重要的价值,可以保护数据安全,防止未经授权的访问,满足合规性要求,提供安全审计功能,并增强用户对系统的信任感。
身份认证
-
CTIAM
统一身份认证(Identity and Access Management, 简称:CTIAM)是提供用户进行权限管理的基础服务,可以帮助您安全的控制天翼云服务和资源的访问及操作权限,包括:用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证-产品介绍。
您可以创建IAM用户,并为其设置关联分布式消息服务RocketMQ实例权限,该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证-快速入门-创建IAM用户 。
访问控制
-
权限控制
购买分布式消息服务RocketMQ实例之后,您可以使用CTIAM为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,通过CTIAM进行精细的权限管理。
-
VPC和子网
虚拟私有云(Virtual Private Cloud,VPC)为分布式消息服务RocketMQ构建隔离、私密的虚拟网络环境,提升数据库的安全性,并简化用户的网络部署。您可以完全掌控自己的专有网络,VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离,独享网络资源,提高网络安全性。具体内容请参见虚拟私有云-用户指南-创建虚拟私有云和子网 。
-
安全组
安全组是一个逻辑上的分组,可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RocketMQ实例提供相同的访问策略。您可以通过为数据库实例设置安全组,开通需访问RocketMQ实例的IP地址和端口,来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组
数据保护技术
RocketMQ提供了多种数据保护技术,以确保数据在传输和存储过程中的机密性和完整性。
- 跨AZ容灾:根据数据和服务的不同可靠性需求,您有多种选择。您可以选择在一个可用区(即单个机房)内部署RocketMQ实例,或者选择跨多个可用区(即同城灾备)进行部署。
- 副本冗余:通过副本冗余机制,RocketMQ可以提供高可用性和容错性,确保消息的可靠传输和持久存储。即使在节点故障或网络异常的情况下,RocketMQ仍能保证消息的可用性和一致性,提供稳定可靠的消息传输服务。
- 数据持久化:通过数据持久化机制,RocketMQ可以将消息可靠地存储在磁盘上,并在需要时进行读取和恢复。这样可以确保消息的持久性、可靠性和一致性,提供稳定可靠的消息传输和存储服务。
服务韧性
RocketMQ服务的韧性是指其在面对各种故障和异常情况时能够保持可用性和可靠性的能力。以下是保障RocketMQ服务韧性的关键方面:
- AZ内实例容灾:在一个可用区内部署多个RocketMQ实例,以提供高可用性和容灾能力。当一个实例发生故障或不可用时,其他实例可以接管工作,确保消息服务的连续性。
- 数据容灾:在RocketMQ中,数据容灾是指保护消息数据免受损失的能力。RocketMQ支持配置多个副本,将消息数据复制到不同的节点上。这样即使某个节点发生故障,其他副本仍然可以提供数据服务,确保消息数据的可用性。
支持TLS传输加密
客户端可以设置TLS或非TLS连接。如下图所示:
权限控制
权限控制主要为 RocketMQ 提供 Topic 资源级别的高级访问控制功能。用户在使用RocketMQ权限控制时,可以在Client客户端注入用户名和密码参数实现签名,服务端通过权限控制参数实现各个资源的权限管理和校验。
Topic资源访问权限控制
对RocketMQ的Topic资源访问权限控制定义主要如下表所示,分为以下四种
| 权限 | 含义 |
|---|---|
| DENY | 拒绝 |
| ANY | PUB 或者 SUB 权限 |
| PUB | 发送权限 |
| SUB | 订阅权限 |
