【精选】RabbitMQ用户角色及权限控制 |
您所在的位置:网站首页 › rabbitmq 用户权限 › 【精选】RabbitMQ用户角色及权限控制 |
【精选】RabbitMQ用户角色及权限控制
全栈工程师开发手册 (作者:栾鹏) 架构系列文章 RabbitMQ的用户角色分类:none、management、policymaker、monitoring、administrator user 有5种 tags : management :访问 management plugin; policymaker :访问 management plugin 和管理自己 vhosts 的策略和参数; monitoring :访问 management plugin 和查看所有配置和通道以及节点信息; administrator :一切权限; None :无配置 RabbitMQ各类角色描述:none 不能访问 management plugin management 用户可以通过AMQP做的任何事外加: 列出自己可以通过AMQP登入的virtual hosts 查看自己的virtual hosts中的queues, exchanges 和 bindings 查看和关闭自己的channels 和 connections 查看有关自己的virtual hosts的“全局”的统计信息,包含其他用户在这些virtual hosts中的活动。 policymaker management可以做的任何事外加: 查看、创建和删除自己的virtual hosts所属的policies和parameters monitoring management可以做的任何事外加: 列出所有virtual hosts,包括他们不能登录的virtual hosts 查看其他用户的connections和channels 查看节点级别的数据如clustering和memory使用情况 查看真正的关于所有virtual hosts的全局的统计信息 administrator policymaker和monitoring可以做的任何事外加: 创建和删除virtual hosts 查看、创建和删除users 查看创建和删除permissions 关闭其他用户的connections 通过命令创建用户和赋予权限添加 Users : rabbitmqctl add_user rabbitmqctl set_user_tags ... rabbitmqctl set_permissions [-p ]删除 Users : delete_user示例:创建用户并设置角色: 可以创建管理员用户,负责整个MQ的运维,例如: $sudo rabbitmqctl add_user user_admin passwd_admin赋予其administrator角色: $sudo rabbitmqctl set_user_tags user_admin administrator可以创建RabbitMQ监控用户,负责整个MQ的监控,例如: $sudo rabbitmqctl add_user user_monitoring passwd_monitor赋予其monitoring角色: $sudo rabbitmqctl set_user_tags user_monitoring monitoring可以创建某个项目的专用用户,只能访问项目自己的virtual hosts $sudo rabbitmqctl add_user user_proj passwd_proj赋予其monitoring角色: $sudo rabbitmqctl set_user_tags user_proj management创建和赋角色完成后查看并确认: $sudo rabbitmqctl list_users 通过命令操作Virtual Hosts加 Virtual Hosts : rabbitmqctl add_vhost删除 Virtual Hosts : rabbitmqctl delete_vhost guest用户默认 “guest” 用户只允许本地访问,其他账户不受限制。 若允许使用 “guest” 远程访问,需要在配置文件中添加以下选项:rabbitmq.config [ {rabbit, [ {loopback_users, []} ]} ]. 权限说明用户仅能对其所能访问的virtual hosts中的资源进行操作。这里的资源指的是virtual hosts中的exchanges、queues等,操作包括对资源进行配置、写、读。 配置权限可创建、删除、资源并修改资源的行为,写权限可向资源发送消息,读权限从资源获取消息。比如: exchange和queue的declare与delete分别需要exchange和queue上的配置权限exchange的bind与unbind需要exchange的读写权限queue的bind与unbind需要queue写权限exchange的读权限发消息(publish)需exchange的写权限获取或清除(get、consume、purge)消息需queue的读权限对何种资源具有配置、写、读的权限通过正则表达式来匹配,具体命令如下: set_permissions [-p ]其中, 的位置分别用正则表达式来匹配特定的资源,如'^(amq\.gen.*|amq\.default)$'可以匹配server生成的和默认的exchange,'^$'不匹配任何资源 注意:RabbitMQ会缓存每个connection或channel的权限验证结果、因此权限发生变化后需要重连才能生效。 为用户赋权: $sudo rabbitmqctl set_permissions -p /vhost1 user_admin '.*' '.*' '.*'该命令使用户user_admin具有/vhost1这个virtual host中所有资源的配置、写、读权限以便管理其中的资源 查看权限 sudo rabbitmqctl list_user_permissions user_admin sudo rabbitmqctl list_permissions -p /vhost1 |
【本文地址】
今日新闻 |
推荐新闻 |