RabbitMQ用户角色及权限控制

RabbitMQ的用户角色分类:

none、management、policymaker、monitoring、administrator

user 有5种 tags :
management :访问 management plugin;
policymaker :访问 management plugin 和管理自己 vhosts 的策略和参数;
monitoring :访问 management plugin 和查看所有配置和通道以及节点信息;
administrator :一切权限;
None :无配置

RabbitMQ各类角色描述:

none
不能访问 management plugin

management
用户可以通过AMQP做的任何事外加:
列出自己可以通过AMQP登入的virtual hosts
查看自己的virtual hosts中的queues, exchanges 和 bindings
查看和关闭自己的channels 和 connections
查看有关自己的virtual hosts的“全局”的统计信息,包含其他用户在这些virtual hosts中的活动。

policymaker
management可以做的任何事外加:
查看、创建和删除自己的virtual hosts所属的policies和parameters

monitoring
management可以做的任何事外加:
列出所有virtual hosts,包括他们不能登录的virtual hosts
查看其他用户的connections和channels
查看节点级别的数据如clustering和memory使用情况
查看真正的关于所有virtual hosts的全局的统计信息

administrator
policymaker和monitoring可以做的任何事外加:
创建和删除virtual hosts
查看、创建和删除users
查看创建和删除permissions
关闭其他用户的connections

通过命令创建用户和赋予权限

添加 Users :

rabbitmqctl add_user <username> <password>  
rabbitmqctl set_user_tags <username> <tag> ...  
rabbitmqctl set_permissions [-p <vhost>] <user> <conf> <write> <read>  

 

 

客户端访问提示:RabbitMQ Not management user可用下面的命令解决:

cd /opt/rabbitmq_server-3.7.12/sbin

rabbitmqctl set_user_tags frj administrator

 

 经过上述配置后,即可正常访问:

 

 

 

删除 Users :

delete_user <username> 

示例:创建用户并设置角色:

可以创建管理员用户,负责整个MQ的运维,例如:

$sudo rabbitmqctl add_user  user_admin  passwd_admin

赋予其administrator角色:

$sudo rabbitmqctl set_user_tags user_admin administrator

可以创建RabbitMQ监控用户,负责整个MQ的监控,例如:

$sudo rabbitmqctl add_user  user_monitoring  passwd_monitor

赋予其monitoring角色:

$sudo rabbitmqctl set_user_tags user_monitoring monitoring

可以创建某个项目的专用用户,只能访问项目自己的virtual hosts

$sudo rabbitmqctl  add_user  user_proj  passwd_proj

赋予其monitoring角色:

$sudo rabbitmqctl set_user_tags user_proj management

创建和赋角色完成后查看并确认:

$sudo rabbitmqctl list_users

通过命令操作Virtual Hosts

加 Virtual Hosts :

rabbitmqctl add_vhost <vhost>  

删除 Virtual Hosts :

rabbitmqctl delete_vhost <vhost>  

guest用户

默认 “guest” 用户只允许本地访问,其他账户不受限制。

若允许使用 “guest” 远程访问,需要在配置文件中添加以下选项:rabbitmq.config

[  
 {rabbit,   
 [  
    {loopback_users, []}  
 ]}  
].  

权限说明

用户仅能对其所能访问的virtual hosts中的资源进行操作。这里的资源指的是virtual hosts中的exchanges、queues等,操作包括对资源进行配置、写、读。

  • 配置权限可创建、删除、资源并修改资源的行为,
  • 写权限可向资源发送消息,
  • 读权限从资源获取消息。

比如:

  • exchange和queue的declare与delete分别需要exchange和queue上的配置权限
  • exchange的bind与unbind需要exchange的读写权限
  • queue的bind与unbind需要queue写权限exchange的读权限
  • 发消息(publish)需exchange的写权限
  • 获取或清除(get、consume、purge)消息需queue的读权限

对何种资源具有配置、写、读的权限通过正则表达式来匹配,具体命令如下:

set_permissions [-p <vhostpath>] <user> <conf> <write> <read>

其中,<conf> <write> <read>的位置分别用正则表达式来匹配特定的资源,如'^(amq\.gen.*|amq\.default)$'可以匹配server生成的和默认的exchange,'^$'不匹配任何资源

注意:RabbitMQ会缓存每个connection或channel的权限验证结果、因此权限发生变化后需要重连才能生效。

为用户赋权:

$sudo rabbitmqctl  set_permissions -p /vhost1  user_admin '.*' '.*' '.*'

该命令使用户user_admin具有/vhost1这个virtual host中所有资源的配置、写、读权限以便管理其中的资源

查看权限

sudo rabbitmqctl list_user_permissions user_admin
sudo rabbitmqctl list_permissions -p /vhost1
posted @ 2019-09-10 16:55  金虹巴巴  阅读(5302)  评论(0编辑  收藏  举报