RabbitMQ用戶角色及權限控制

#######################
#用戶角色
#######################

RabbitMQ的用戶角色分類：
none、management、policymaker、monitoring、administrator

RabbitMQ各種角色描述：
none
不能訪問 management plugin

management
用戶能夠經過AMQP作的任何事外加：
列出本身能夠經過AMQP登入的virtual hosts  
查看本身的virtual hosts中的queues, exchanges 和 bindings
查看和關閉本身的channels 和 connections
查看有關本身的virtual hosts的「全局」的統計信息，包含其餘用戶在這些virtual hosts中的活動。

policymaker 
management能夠作的任何事外加：
查看、建立和刪除本身的virtual hosts所屬的policies和parameters

monitoring  
management能夠作的任何事外加：
列出全部virtual hosts，包括他們不能登陸的virtual hosts
查看其餘用戶的connections和channels
查看節點級別的數據如clustering和memory使用狀況
查看真正的關於全部virtual hosts的全局的統計信息

administrator   
policymaker和monitoring能夠作的任何事外加:
建立和刪除virtual hosts
查看、建立和刪除users
查看建立和刪除permissions
關閉其餘用戶的connections

建立用戶並設置角色：
能夠建立管理員用戶，負責整個MQ的運維，例如：

1. $sudo rabbitmqctl add_user  user_admin  passwd_admin  

賦予其administrator角色：

1. $sudo rabbitmqctl set_user_tags user_admin administrator  

能夠建立RabbitMQ監控用戶，負責整個MQ的監控，例如：

1. $sudo rabbitmqctl add_user  user_monitoring  passwd_monitor  

賦予其monitoring角色：

1. $sudo rabbitmqctl set_user_tags user_monitoring monitoring  

能夠建立某個項目的專用用戶，只能訪問項目本身的virtual hosts

1. $sudo rabbitmqctl  add_user  user_proj  passwd_proj  

賦予其monitoring角色：

1. $sudo rabbitmqctl set_user_tags user_proj management  

建立和賦角色完成後查看並確認：

1. $sudo rabbitmqctl list_users  

########################
#RabbitMQ 權限控制：
########################
默認virtual host："/"
默認用戶：guest 
guest具備"/"上的所有權限，僅能有localhost訪問RabbitMQ包括Plugin，建議刪除或更改密碼。可經過將配置文件中loopback_users置孔來取消其本地訪問的限制：
[{rabbit, [{loopback_users, []}]}]

用戶僅能對其所能訪問的virtual hosts中的資源進行操做。這裏的資源指的是virtual hosts中的exchanges、queues等，操做包括對資源進行配置、寫、讀。配置權限可建立、刪除、資源並修改資源的行爲，寫權限可向資源發送消息，讀權限從資源獲取消息。好比：
exchange和queue的declare與delete分別須要exchange和queue上的配置權限
exchange的bind與unbind須要exchange的讀寫權限
queue的bind與unbind須要queue寫權限exchange的讀權限
發消息(publish)需exchange的寫權限
獲取或清除(get、consume、purge)消息需queue的讀權限

對何種資源具備配置、寫、讀的權限經過正則表達式來匹配，具體命令以下：
set_permissions [-p <vhostpath>] <user> <conf> <write> <read>
其中，<conf> <write> <read>的位置分別用正則表達式來匹配特定的資源，如'^(amq\.gen.*|amq\.default)$'能夠匹配server生成的和默認的exchange，'^$'不匹配任何資源

須要注意的是RabbitMQ會緩存每一個connection或channel的權限驗證結果、所以權限發生變化後須要重連才能生效。

爲用戶賦權：

[plain] view plaincopy

1. $sudo rabbitmqctl  set_permissions -p /vhost1  user_admin '.*' '.*' '.*'  

該命令使用戶user_admin具備/vhost1這個virtual host中全部資源的配置、寫、讀權限以便管理其中的資源

查看權限：

[plain] view plaincopy

1. $sudo rabbitmqctl list_user_permissions user_admin  

2. Listing permissions for user "user_admin" ...  

3. /vhost1<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*  

4.   

5. $sudo rabbitmqctl list_permissions -p /vhost1  

6. Listing permissions in vhost "/vhost1" ...  

7. user_admin<span style="white-space:pre">  </span>.*<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*