RabbitMQ的用戶角色分類:
none、management、policymaker、monitoring、administrator
user 有5種 tags :
management :訪問 management plugin;
policymaker :訪問 management plugin 和管理自己 vhosts 的策略和參數;
monitoring :訪問 management plugin 和查看所有配置和通道以及節點信息;
administrator :一切權限;
None :無配置
RabbitMQ各類角色描述:
none
不能訪問 management plugin
management
用戶可以通過AMQP做的任何事外加:
列出自己可以通過AMQP登入的virtual hosts
查看自己的virtual hosts中的queues, exchanges 和 bindings
查看和關閉自己的channels 和 connections
查看有關自己的virtual hosts的“全局”的統計信息,包含其他用戶在這些virtual hosts中的活動。
policymaker
management可以做的任何事外加:
查看、創建和刪除自己的virtual hosts所屬的policies和parameters
monitoring
management可以做的任何事外加:
列出所有virtual hosts,包括他們不能登錄的virtual hosts
查看其他用戶的connections和channels
查看節點級別的數據如clustering和memory使用情況
查看真正的關於所有virtual hosts的全局的統計信息
administrator
policymaker和monitoring可以做的任何事外加:
創建和刪除virtual hosts
查看、創建和刪除users
查看創建和刪除permissions
關閉其他用戶的connections
通過命令創建用戶和賦予權限
添加 Users :
rabbitmqctl add_user <username> <password>
rabbitmqctl set_user_tags <username> <tag> ...
rabbitmqctl set_permissions [-p <vhost>] <user> <conf> <write> <read>
客戶端訪問提示:RabbitMQ Not management user可用下面的命令解決:
cd /opt/rabbitmq_server-3.7.12/sbin
rabbitmqctl set_user_tags frj administrator
經過上述配置后,即可正常訪問:
刪除 Users :
delete_user <username> 示例:創建用戶並設置角色:
可以創建管理員用戶,負責整個MQ的運維,例如:
$sudo rabbitmqctl add_user user_admin passwd_admin賦予其administrator角色:
$sudo rabbitmqctl set_user_tags user_admin administrator可以創建RabbitMQ監控用戶,負責整個MQ的監控,例如:
$sudo rabbitmqctl add_user user_monitoring passwd_monitor賦予其monitoring角色:
$sudo rabbitmqctl set_user_tags user_monitoring monitoring可以創建某個項目的專用用戶,只能訪問項目自己的virtual hosts
$sudo rabbitmqctl add_user user_proj passwd_proj賦予其monitoring角色:
$sudo rabbitmqctl set_user_tags user_proj management創建和賦角色完成后查看並確認:
$sudo rabbitmqctl list_users通過命令操作Virtual Hosts
加 Virtual Hosts :
rabbitmqctl add_vhost <vhost> 刪除 Virtual Hosts :
rabbitmqctl delete_vhost <vhost> guest用戶
默認 “guest” 用戶只允許本地訪問,其他賬戶不受限制。
若允許使用 “guest” 遠程訪問,需要在配置文件中添加以下選項:rabbitmq.config
[
{rabbit,
[
{loopback_users, []}
]}
]. 權限說明
用戶僅能對其所能訪問的virtual hosts中的資源進行操作。這里的資源指的是virtual hosts中的exchanges、queues等,操作包括對資源進行配置、寫、讀。
- 配置權限可創建、刪除、資源並修改資源的行為,
- 寫權限可向資源發送消息,
- 讀權限從資源獲取消息。
比如:
- exchange和queue的declare與delete分別需要exchange和queue上的配置權限
- exchange的bind與unbind需要exchange的讀寫權限
- queue的bind與unbind需要queue寫權限exchange的讀權限
- 發消息(publish)需exchange的寫權限
- 獲取或清除(get、consume、purge)消息需queue的讀權限
對何種資源具有配置、寫、讀的權限通過正則表達式來匹配,具體命令如下:
set_permissions [-p <vhostpath>] <user> <conf> <write> <read>其中,<conf> <write> <read>的位置分別用正則表達式來匹配特定的資源,如'^(amq\.gen.*|amq\.default)$'可以匹配server生成的和默認的exchange,'^$'不匹配任何資源
注意:RabbitMQ會緩存每個connection或channel的權限驗證結果、因此權限發生變化后需要重連才能生效。
為用戶賦權:
$sudo rabbitmqctl set_permissions -p /vhost1 user_admin '.*' '.*' '.*'該命令使用戶user_admin具有/vhost1這個virtual host中所有資源的配置、寫、讀權限以便管理其中的資源
查看權限
sudo rabbitmqctl list_user_permissions user_admin
sudo rabbitmqctl list_permissions -p /vhost1