AutoMQ Cloud 支持身份识别以及 RBAC 权限控制。本文介绍AutoMQ Cloud 产品体系中账号的基础概念。

账户类型

AutoMQ Cloud 提供了成员账户 以及服务账户 两种账号类型,两者定义和区别如下:
账户类型
作用和区别
成员账户(Member Account)
  • 场景: 成员账户对应一个自然人,一般由企业员工持有和使用。
  • 访问: 通过环境控制台 WebUI 访问 AutoMQ Cloud。
  • 身份识别: 用户名和密码登录认证。
服务账户(Service Account)
  • 场景: 服务账户仅用于应用程序、API 集成,一般配置在应用代码中。
  • 访问: 服务账户一般通过 API、Terraform 等方式访问 AutoMQ Cloud。
  • 身份识别: Access Key Id 和 Secret Access Key,通过签名进行校验。

成员账户

定义

成员账户是通过系统默认生成、已有环境成员手工创建、企业 SSO 登录自动创建的环境级别的操作人身份凭证信息。 成员账户根据需要授予的权限范围支持多种不同角色,目前支持 Admin、Operator 和 Viewer 角色。

创建方式

  • 本地类型: 每个环境的初始 Admin 成员是由系统在创建环境时自动创建,后续的成员可以由 Admin 成员手工创建。
  • SSO 类型: AutoMQ 支持配置企业身份服务提供商(IDP),通过 SSO 登录创建 SSO 类型的环境成员。

环境和环境成员的关系

当创建了一个新的环境时,系统会为当前环境自动初始化创建一个 Admin 角色的成员。后续再由初始的 Admin 成员创建新的成员。

服务账户

定义

服务账户是 AutoMQ Cloud 提供的,用于外部系统通过 API、应用集成访问 AutoMQ 的账户身份。服务账户本身不提供任何登录密码,也无法在 WebUI 操作。

创建方式

服务账户可以由成员账户在AutoMQ 控制台创建,或者通过 API 进行创建。

RBAC 权限控制

AutoMQ Cloud 中包括成员账户 以及服务账户 均支持 RBAC(Role Based Access Control)。系统预置了多种权限角色,每种权限角色拥有不同的操作权限范围,Admin 角色的账户执行授权操作,将角色赋予其他账户。 RBAC 控制请参考文档RBAC 权限控制▸