分布式消息服务Kafka已对接天翼云统一身份认证服务(IAM),可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等, 以达到用户权限的精细管理,保证访问的安全性。
IAM简介
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务,用户可申请开通后免费使用,您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见:统一身份认证。
IAM涉及主要概念
- 主用户:用户在天翼云注册后自动创建,该用户对其所拥有的资源具有完全的访问权限,可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源,为了确保账号安全,建议创建子用户来进行日常管理工作。
- 子用户:由拥有IAM权限的用户,在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台,登录入口与主用户相同,受赋予的权限限制。
- 用户组:用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您帐号中的任何资源或者云服务。
- 系统策略:由产品团队维护,系统预置的常用权限集,主要针对不同云服务的只读权限或管理员权限,比如对 ECS 的只读权限、对 ECS 的管理员权限等;系统策略在IAM控制台中只能用于授权,不能编辑和修改。
- 自定义策略:由用户自己在IAM控制台创建和管理的权限集,是用户可以自由定义的权限,是对系统策略的扩展和补充。
- 企业项目:企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理,通过企业项目将云资源、带有权限的用户组绑定到一起,用户使用企业项目内云资源的权限受用户组的授权限制。
系统策略
Kafka默认提供三种系统策略供用户选择,策略仅包括管理控制台内的相关功能权限,涉及订单下单等非管理控制台的权限还需进行相应的权限配置。Kafka的三种默认策略分别是管理员策略(admin),使用者策略(user),浏览者策略(reviewer),三种策略的权限模型具体如下:
功能模块 权限名称 IAM角色 KAFKA admin KAFKA user KAFKA viewer 实例管理 实例列表 Y Y Y 实例管理 操作审计 Y Y Y 实例管理 集群迁移 Y Y 实例列表 创建实例 Y 实例列表 磁盘扩容 Y 实例列表 节点扩容 Y 实例列表 规格扩容 Y 实例列表 规格缩容 Y 实例列表 续订 Y 实例列表 退订 Y 实例列表 到期转按需 Y 实例列表 重启 Y 实例列表 设置公网IP Y 管理 实例详情 Y Y Y 管理 集群信息 Y Y Y 管理 主题管理 Y Y Y 管理 消费组管理 Y Y Y 管理 应用用户管理 Y Y Y 管理 命名空间管理 Y Y Y 管理 监控信息 Y Y Y 管理 消息查询 Y Y Y 管理 配置管理 Y Y Y 管理 告警管理 Y Y 主题管理 新建Topic Y Y 主题管理 删除Topic Y Y 主题管理 分区状态 Y Y Y 主题管理 生产拨测 Y Y 主题管理 删除消息 Y Y 主题管理 分区平衡 Y Y 主题管理 批量创建主题 Y Y 主题管理 修改 Y Y 消费组管理 新建消费组 Y Y 消费组管理 删除消费组 Y Y 消费组管理 消费拨测 Y Y 消费组管理 批量创建消费组 Y Y 消费组管理 添加主题 Y Y 消费组管理 批量订阅 Y Y 消费组管理 重置消费位置 Y Y 消费组管理 消息堆积 Y Y Y 命名空间管理 获取用户Token Y Y Y 命名空间管理 新建命名空间 Y Y 命名空间管理 修改命名空间 Y Y 应用用户管理 新建用户 Y Y 应用用户管理 删除用户 Y Y 应用用户管理 批量创建用户 Y Y 应用用户管理 添加消费者权限 Y Y 应用用户管理 添加生产者权限 Y Y 应用用户管理 修改用户 Y Y 实例管理 offset查询 Y Y Y 实例管理 时间戳查询 Y Y Y 配置管理 查询配置 Y Y Y 配置管理 修改配置 Y
