#######################
#用戶角色
#######################
RabbitMQ的用戶角色分類:
none、management、policymaker、monitoring、administrator
RabbitMQ各類角色描述:
none
不能訪問 management plugin
management
用戶可以通過AMQP做的任何事外加:
列出自己可以通過AMQP登入的virtual hosts
查看自己的virtual hosts中的queues, exchanges 和 bindings
查看和關閉自己的channels 和 connections
查看有關自己的virtual hosts的“全局”的統計信息,包含其他用戶在這些virtual hosts中的活動。
policymaker
management可以做的任何事外加:
查看、創建和刪除自己的virtual hosts所屬的policies和parameters
monitoring
management可以做的任何事外加:
列出所有virtual hosts,包括他們不能登錄的virtual hosts
查看其他用戶的connections和channels
查看節點級別的數據如clustering和memory使用情況
查看真正的關於所有virtual hosts的全局的統計信息
administrator
policymaker和monitoring可以做的任何事外加:
創建和刪除virtual hosts
查看、創建和刪除users
查看創建和刪除permissions
關閉其他用戶的connections
創建用戶並設置角色:
可以創建管理員用戶,負責整個MQ的運維,例如:
- $sudo rabbitmqctl add_user user_admin passwd_admin
賦予其administrator角色:
- $sudo rabbitmqctl set_user_tags user_admin administrator
可以創建RabbitMQ監控用戶,負責整個MQ的監控,例如:
- $sudo rabbitmqctl add_user user_monitoring passwd_monitor
賦予其monitoring角色:
- $sudo rabbitmqctl set_user_tags user_monitoring monitoring
可以創建某個項目的專用用戶,只能訪問項目自己的virtual hosts
- $sudo rabbitmqctl add_user user_proj passwd_proj
賦予其monitoring角色:
- $sudo rabbitmqctl set_user_tags user_proj management
創建和賦角色完成后查看並確認:
- $sudo rabbitmqctl list_users
########################
#RabbitMQ 權限控制:
########################
默認virtual host:"/"
默認用戶:guest
guest具有"/"上的全部權限,僅能有localhost訪問RabbitMQ包括Plugin,建議刪除或更改密碼。可通過將配置文件中loopback_users置孔來取消其本地訪問的限制:
[{rabbit, [{loopback_users, []}]}]
用戶僅能對其所能訪問的virtual hosts中的資源進行操作。這里的資源指的是virtual hosts中的exchanges、queues等,操作包括對資源進行配置、寫、讀。配置權限可創建、刪除、資源並修改資源的行為,寫權限可向資源發送消息,讀權限從資源獲取消息。比如:
exchange和queue的declare與delete分別需要exchange和queue上的配置權限
exchange的bind與unbind需要exchange的讀寫權限
queue的bind與unbind需要queue寫權限exchange的讀權限
發消息(publish)需exchange的寫權限
獲取或清除(get、consume、purge)消息需queue的讀權限
對何種資源具有配置、寫、讀的權限通過正則表達式來匹配,具體命令如下:
set_permissions [-p <vhostpath>] <user> <conf> <write> <read>
其中,<conf> <write> <read>的位置分別用正則表達式來匹配特定的資源,如'^(amq\.gen.*|amq\.default)$'可以匹配server生成的和默認的exchange,'^$'不匹配任何資源
需要注意的是RabbitMQ會緩存每個connection或channel的權限驗證結果、因此權限發生變化后需要重連才能生效。
為用戶賦權:
- $sudo rabbitmqctl set_permissions -p /vhost1 user_admin '.*' '.*' '.*'
該命令使用戶user_admin具有/vhost1這個virtual host中所有資源的配置、寫、讀權限以便管理其中的資源
查看權限:
- $sudo rabbitmqctl list_user_permissions user_admin
- Listing permissions for user "user_admin" ...
- /vhost1<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*
- $sudo rabbitmqctl list_permissions -p /vhost1
- Listing permissions in vhost "/vhost1" ...
- user_admin<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*