分布式消息服務Kafka已對接天翼云統一身份認證服務（IAM），可實現控制臺按鈕、菜單功能、OpenAPI等維度對用戶訪問、操作資源的權限控制等， 以達到用戶權限的精細管理，保證訪問的安全性。

IAM簡介

統一身份認證（Identity and Access Management，簡稱IAM）服務，是提供用戶進行權限管理的基礎服務，可以幫助您安全的控制云服務和資源的訪問及操作權限。目前天翼云提供對應專有的CTIAM服務，用戶可申請開通后免費使用，您只需要為您帳號中的云服務和資源進行付費。具體IAM使用說明詳情見：統一身份認證。

IAM涉及主要概念

• 主用戶：用戶在天翼云注冊后自動創建，該用戶對其所擁有的資源具有完全的訪問權限，可以重置用戶密碼、分配用戶權限等。如果需要多人共同使用天翼云資源，為了確保賬號安全，建議創建子用戶來進行日常管理工作。
• 子用戶：由擁有IAM權限的用戶，在用戶中心創建的子用戶。子用戶的用戶名、密碼由擁有IAM權限的用戶控制。子用戶同樣可以登錄訪問天翼云控制臺，登錄入口與主用戶相同，受賦予的權限限制。
• 用戶組：用戶組是用戶的集合，IAM通過用戶組功能實現用戶的授權。您創建的IAM用戶，需要加入特定用戶組后，才具備對應的權限，否則IAM用戶無法訪問您帳號中的任何資源或者云服務。
• 系統策略：由產品團隊維護，系統預置的常用權限集，主要針對不同云服務的只讀權限或管理員權限，比如對 ECS 的只讀權限、對 ECS 的管理員權限等；系統策略在IAM控制臺中只能用于授權，不能編輯和修改。
• 自定義策略：由用戶自己在IAM控制臺創建和管理的權限集，是用戶可以自由定義的權限，是對系統策略的擴展和補充。
• 企業項目：企業項目權限實現細粒度控制的基礎。將云資源、企業成員按企業項目進行管理，通過企業項目將云資源、帶有權限的用戶組綁定到一起，用戶使用企業項目內云資源的權限受用戶組的授權限制。

系統策略

Kafka默認提供三種系統策略供用戶選擇，策略僅包括管理控制臺內的相關功能權限，涉及訂單下單等非管理控制臺的權限還需進行相應的權限配置。Kafka的三種默認策略分別是管理員策略（admin），使用者策略（user），瀏覽者策略（reviewer），三種策略的權限模型具體如下：

功能模塊
權限名稱
IAM角色
KAFKA admin
KAFKA user
KAFKA viewer
實例管理
實例列表
Y
Y
Y
實例管理
操作審計
Y
Y
Y
實例管理
集群遷移
Y
Y

實例列表
創建實例
Y


實例列表
磁盤擴容
Y


實例列表
節點擴容
Y


實例列表
規格擴容
Y


實例列表
規格縮容
Y


實例列表
續訂
Y


實例列表
退訂
Y


實例列表
到期轉按需
Y


實例列表
重啟
Y


實例列表
設置公網IP
Y


管理
實例詳情
Y
Y
Y
管理
集群信息
Y
Y
Y
管理
主題管理
Y
Y
Y
管理
消費組管理
Y
Y
Y
管理
應用用戶管理
Y
Y
Y
管理
命名空間管理
Y
Y
Y
管理
監控信息
Y
Y
Y
管理
消息查詢
Y
Y
Y
管理
配置管理
Y
Y
Y
管理
告警管理
Y
Y

主題管理
新建Topic
Y
Y

主題管理
刪除Topic
Y
Y

主題管理
分區狀態
Y
Y
Y
主題管理
生產撥測
Y
Y

主題管理
刪除消息
Y
Y

主題管理
分區平衡
Y
Y

主題管理
批量創建主題
Y
Y

主題管理
修改
Y
Y

消費組管理
新建消費組
Y
Y

消費組管理
刪除消費組
Y
Y

消費組管理
消費撥測
Y
Y

消費組管理
批量創建消費組
Y
Y

消費組管理
添加主題
Y
Y

消費組管理
批量訂閱
Y
Y

消費組管理
重置消費位置
Y
Y

消費組管理
消息堆積
Y
Y
Y
命名空間管理
獲取用戶Token
Y
Y
Y
命名空間管理
新建命名空間
Y
Y

命名空間管理
修改命名空間
Y
Y

應用用戶管理
新建用戶
Y
Y

應用用戶管理
刪除用戶
Y
Y

應用用戶管理
批量創建用戶
Y
Y

應用用戶管理
添加消費者權限
Y
Y

應用用戶管理
添加生產者權限
Y
Y

應用用戶管理
修改用戶
Y
Y

實例管理
offset查詢
Y
Y
Y
實例管理
時間戳查詢
Y
Y
Y
配置管理
查詢配置
Y
Y
Y
配置管理
修改配置
Y