访问控制 IAM(Identity and Access Management)是火山引擎提供的权限管理服务,用于控制不同身份对云资源的访问权限。无需付费即可使用,您只需要为您帐号中的资源进行付费。关于 IAM 的详细介绍,请参见访问控制 IAM。
消息队列 Kafka版的资源以及收发消息的权限可通过访问控制IAM实现精细化权限管理,如果您需要为企业中不同的员工设置对消息队列 Kafka版服务不同的访问权限,以达到不同员工之间的权限隔离,您可以使用火山引擎主账号创建额外的身份(例如用户),并对身份赋予只读或只写权限,实现多人协作或多场景安全访问的目的。
如果火山引擎主帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用消息队列 Kafka版的其他功能服务。
用户与角色都是 IAM 中的身份。
用户分为主账号与 IAM 用户。主账号是所有火山引擎资源的拥有者,具备所有云资源的管理权限。主账号可以创建多个 IAM 用户,并为 IAM 用户进行授权。授权后,IAM 用户才可以基于被授予的权限对消息队列 Kafka版资源进行操作。
用户组是用户的集合,当用户组被关联上策略后,用户组里的用户也会拥有对应的策略权限。
角色是访问控制里的另一种身份,受信任的身份通过扮演角色(AssumeRole)获取临时安全凭证后可以访问云资源,可以用于跨服务访问授权等场景。
策略以 API 接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,满足企业对权限最小化的安全管控要求。
目前消息队列 Kafka版支持的权限策略包括系统预设策略。
全读写访问权限(KafkaFullAccess):具备消息队列 Kafka版所有功能和所有资源的操作权限,例如创建或删除实例、创建或删除 Topic 等。
只读访问权限(KafkaReadOnlyAccess):仅具备消息队列 Kafka版资源的只读权限,不能执行新建、编辑或删除类型的操作。