概述
默认情况下,子账号没有使用Kafak控制台的权限。若要允许子账号操作主账号资源权限,必须创建访问控制策略并将这些策略附加到对应的子账号或群组。策略、群组、子账号等访问控制相关介绍详见:访问控制文档。
子账号权限管理
可授权 Kafka Action 和对应资源
| Action | Action 描述 | 资源 |
|---|---|---|
| comb:kafka:GetClusters | 集群列表页 | comb:kafka:::* |
| comb:kafka:GetCluster | 集群详情页 | comb:kafka:::instance/${clusterName} |
| comb:kafka:GetOpLogs | 集群操作日志页 | comb:kafka:::instance/${clusterName} |
| comb:kafka:GetTopics | Topic管理页 | comb:kafka:::* |
| comb:kafka:GetTopicPerfMetrics | Topic管理页性能数据 | comb:kafka:::instance/${topicName} |
| comb:kafka:GetTopic | Topic详情页 | comb:kafka:::instance/${topicName} |
| comb:kafka:GetConsumers | Topic消费者组 | |
| comb:kafka:GetConsumer | Topic消费者详情 | comb:kafka:::instance/${topicName} |
| comb:kafka:GetTopicOverview | Topic信息总览 | comb:kafka:::instance/${topicName} |
系统策略
KafkaFullAccess - Kafka管理权限
包含集群管理和topic管理的所有权限。控制台的创建过程还包含下单、支付等计费流程,即财务权限, 已在该权限包含。
{
"version": 1,
"statement": [
{
"action": [
"comb:kafka:*",
"comb:finance:*"
],
"effect": "allow",
"resource": [
"comb:kafka:*:*:*"
]
}
]
}
Note
管理权限目前仅供展示,不支持向子账号赋予该权限。
KafkaReadOnlyAccess - Kafka只读权限
包含查询集群,查询Topic等只读权限,但不包含创建、删除等管理权限。
{
"version": 1,
"statement": [
{
"action": [
"comb:kafka:GetCluster",
"comb:kafka:GetClusters",
"comb:kafka:GetTopic",
"comb:kafka:GetTopics",
"comb:kafka:GetTopicPerfMetrics",
"comb:kafka:GetConsumers",
"comb:kafka:GetConsumer",
"comb:kafka:GetTopicOverview",
"comb:kafka:GetOpLogs"
],
"effect": "allow",
"resource": [
"comb:kafka:*:*:*"
]
}
]
}
控制台依赖权限识别
考虑到权限组合复杂,若子账号没有权限,控制台将给出提示,说明依赖的 Action 和 Resourece。详见:权限故障排查。
