#######################
#用户角色
#######################
**
RabbitMQ 的用户角色分类:**
none、management、policymaker、monitoring、administrator
RabbitMQ 各类角色描述:
none
不能访问 management plugin
_
management_
用户可以通过 AMQP 做的任何事外加:
列出自己可以通过 AMQP 登入的 virtual hosts
查看自己的 virtual hosts 中的 queues, exchanges 和 bindings
查看和关闭自己的 channels 和 connections
查看有关自己的 virtual hosts 的“全局”的统计信息,包含其他用户在这些 virtual hosts 中的活动。
_policymaker _
management 可以做的任何事外加:
查看、创建和删除自己的 virtual hosts 所属的 policies 和 parameters
_monitoring _
management 可以做的任何事外加:
列出所有 virtual hosts,包括他们不能登录的 virtual hosts
查看其他用户的 connections 和 channels
查看节点级别的数据如 clustering 和 memory 使用情况
查看真正的关于所有 virtual hosts 的全局的统计信息
_administrator _
policymaker 和 monitoring 可以做的任何事外加:
创建和删除 virtual hosts
查看、创建和删除 users
查看创建和删除 permissions
关闭其他用户的 connections
创建用户并设置角色:
可以创建管理员用户,负责整个 MQ 的运维,例如:
[plain] view plain copy
- $sudo rabbitmqctl add_user user_admin passwd_admin
赋予其 administrator 角色:
[plain] view plain copy
- $sudo rabbitmqctl set_user_tags user_admin administrator
可以创建 RabbitMQ 监控用户,负责整个 MQ 的监控,例如:
[plain] view plain copy
- $sudo rabbitmqctl add_user user_monitoring passwd_monitor
赋予其 monitoring 角色:
[plain] view plain copy
- $sudo rabbitmqctl set_user_tags user_monitoring monitoring
可以创建某个项目的专用用户,只能访问项目自己的 virtual hosts
[plain] view plain copy
- $sudo rabbitmqctl add_user user_proj passwd_proj
赋予其 monitoring 角色:
[plain] view plain copy
- $sudo rabbitmqctl set_user_tags user_proj management
创建和赋角色完成后查看并确认:
[plain] view plain copy
- $sudo rabbitmqctl list_users
########################
#RabbitMQ 权限控制:
########################
默认 virtual host:"/"
默认用户:guest
guest 具有"/"上的全部权限,仅能有 localhost 访问 RabbitMQ 包括 Plugin,建议删除或更改密码。可通过将配置文件中 loopback_users 置孔来取消其本地访问的限制:
[{rabbit, [{loopback_users, []}]}]
用户仅能对其所能访问的 virtual hosts 中的资源进行操作。这里的资源指的是 virtual hosts 中的 exchanges、queues 等,操作包括对资源进行配置、写、读。配置权限可创建、删除、资源并修改资源的行为,写权限可向资源发送消息,读权限从资源获取消息。比如:
exchange 和 queue 的 declare 与 delete 分别需要 exchange 和 queue 上的配置权限
exchange 的 bind 与 unbind 需要 exchange 的读写权限
queue 的 bind 与 unbind 需要 queue 写权限 exchange 的读权限
发消息(publish)需 exchange 的写权限
获取或清除(get、consume、purge)消息需 queue 的读权限
对何种资源具有配置、写、读的权限通过正则表达式来匹配,具体命令如下:
set_permissions [-p ]
其中, 的位置分别用正则表达式来匹配特定的资源,如'^(amq.gen.*|amq.default)/span> 可以匹配 server 生成的和默认的 exchange,'^/span> 不匹配任何资源
需要注意的是 RabbitMQ 会缓存每个 connection 或 channel 的权限验证结果、因此权限发生变化后需要重连才能生效。
为用户赋权:
[plain] view plain copy
- $sudo rabbitmqctl set_permissions -p /vhost1 user_admin '.' '.' '.*'
该命令使用户 user_admin 具有/vhost1 这个 virtual host 中所有资源的配置、写、读权限以便管理其中的资源
查看权限:
[plain] view plain copy
- $sudo rabbitmqctl list_user_permissions user_admin
- Listing permissions for user "user_admin" ...
- /vhost1 .* .* .*
- $sudo rabbitmqctl list_permissions -p /vhost1
- Listing permissions in vhost "/vhost1" ...
- user_admin .* .* .*
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于