对资源进行精细访问控制
您可以使用统一身份认证(Identity and Access Management,简称IAM)服务对所拥有的Kafka服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时,避免分享帐号的密码。
您注册后,系统自动创建帐号,帐号是对其所拥有的资源具有完全控制权限,可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Kafka资源,您可以为员工或应用程序创建IAM用户,并授予IAM用户刚好能完成工作所需的权限,新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。
前提条件
基于IAM服务进行权限管理控制时,您需先了解Kafka的策略管理,包含Kafka所支持的系统策略管理,以及各策略间资源粒度的授权情况。
授权流程
左侧导航栏分别包含“用户组”、“子用户”、“策略管理”、“企业项目”,用户根据个人需要进行操作资源的权限控制。
授权具体流程为:创建IAM用户 -> 创建用户组并授权Kafka资源权限 -> 为IAM用户授权,具体操作步骤如下:
创建IAM用户
使用天翼云网门户的用户管理功能,给员工或应用程序创建IAM子用户。
步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。
步骤 2 鼠标移动至天翼云首页右上角用户头像,在下拉列表中单击“个人中心”。
步骤 3 个人中心左侧菜单中,单击“主子账号及授权管理”。
步骤 4 在主子账号及授权管理页,单击左侧导航菜单中的“子用户”。
步骤 5 在“子用户”管理界面中,单击“创建子用户”。
步骤 6 在弹出的创建用户对话框中,输入子用户信息。
步骤 7 单击“确定”,完成IAM用户创建,返回子用户列表,将显示新创建的IAM用户。
创建用户组并授权Kafka资源权限
(1)创建用户组
步骤 1 使用已注册的天翼云帐号登录天翼云网门户。
步骤 2 鼠标移动至天翼云首页右上角用户头像,在下拉列表中单击“个人中心”。
步骤 3 个人中心左侧菜单中,单击“主子账号及授权管理”。
步骤 4 在主子账号及授权管理页,单击左侧导航菜单中的“用户组”。
步骤 5 在“用户组”管理界面中,单击“创建用户组”。
步骤 6 输入“用户组名称”和“描述”,单击“确定”。
返回用户组列表页,用户组列表中将显示新创建的用户组。
(2)给用户组授权
步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户。
步骤 2 单击首页顶部控制台,在控制中心页面“管理与部署”类中,单击“统一身份认证服务”。
步骤 3 在统一身份认证服务管理页面,单击左侧功能菜单“用户组”,单击待添加授权用户组右侧的 “授权”。
步骤 4 用户组选择策略页面中,勾选需要授予用户组的权限。单击“下一步”。
如果系统策略不满足授权要求,可以单击权限列表右上角的“新建策略”创建自定义策略,并勾选新创建的策略来进行精细的权限控制,自定义策略是对系统策略的扩展和补充。详情请参考创建Kafka自定义策略。
为IAM用户授权
步骤 1 管理员使用已注册的天翼云帐号登录天翼云网门户。
步骤 2 鼠标移动至天翼云首页右上角用户头像,在下拉列表中单击“个人中心”。
步骤 3 个人中心左侧菜单中,单击“主子账号及授权管理”。
步骤 4 在主子账号及授权管理页,单击左侧导航菜单中的“用户组”。