BMQ 支持 ACL 权限策略，可以为全部或目标 SASL 用户设置 Topic 或 Group 的自定义权限，实现资源和用户的权限隔离、细粒度的权限控制。

背景信息

在 SASL 用户管理功能中，可以创建 PLAIN 类型用户并授予 All Permitted 权限，即对实例内所有 Topic 和 Group 均具备读写权限，以用于在 PLAIN 机制下生产和消费消息。
如果需要资源和用户的权限隔离、更细致的权限控制，那么可以通过 ACL 管理功能创建一条 ACL，指定全部或目标 SASL 用户对指定资源的权限策略，包括 Topic 和 Group 的读写权限。

前提条件

• BMQ 实例状态为运行中。
• 已创建 SASL 用户和 Topic、Group 等资源。

操作步骤

1. 登录云原生消息引擎控制台。

2. 在顶部菜单栏，选择目标项目和地域。

3. 在左侧导航栏选择 BMQ 实例，单击目标实例名称，进入实例详情页面。

4. 在 ACL 管理页签中，单击新增ACL。

5. 在新增ACL对话框，设置 ACL 权限策略相关参数，然后单击新增。
   

   配置	说明
   用户	待添加权限的 SASL 用户。支持设置为指定用户或全部用户。
   资源类型	支持的 ACL 资源类型，包括： Topic：消息主题。 Group：消费组。
   资源名称匹配方式	资源的匹配方式，支持设置为： 完全匹配：ACL 策略仅匹配名称完全一致的资源。此时需要设置资源名称。 前缀匹配：ACL 策略匹配指定前缀的资源。此时需要设置资源名称前缀。
   资源名称	仅在资源名称匹配方式为完全匹配时设置。 ACL 策略匹配的资源名称，表示指定用户对哪些资源具备权限。支持设置为全部Topic/Group，或指定目标 Topic/Group。
   资源名称前缀	仅在资源名称匹配方式为前缀匹配时设置。 ACL 策略匹配的资源名称前缀，表示指定用户对哪些名称前缀的资源具备权限。
   IP	SASL 用户使用的 IP 地址或网段，用户仅通过指定 IP 或网段访问指定资源时才具备指定权限。 不同 IP 地址之间英文逗号（,）分隔。支持设置为星号（*），表示所有地址均可访问。
   权限类型	支持配置的权限类型。 当资源类型为 Topic 时，支持如下访问权限： 读：Read，即从 Topic 读取数据的权限。 写：Write，即向 Topic 写入数据的权限。 当资源类型为 Group 时，仅支持读，即 Group 具有读取 Topic 的权限。