rabbitmq 权限和角色管理

翻看官方的release文档后，得知由于账号guest具有所有的操作权限，并且又是默认账号，出于安全因素的考虑，guest用户只能通过localhost登陆使用，并建议修改guest用户的密码以及新建其他账号管理使用rabbitmq(该功能是在3.3.0版本引入的)。

1. 用户管理

用户管理包括增加用户，删除用户，查看用户列表，修改用户密码。

相应的命令

(1) 新增一个用户

rabbitmqctl  add_user  Username  Password

(2) 删除一个用户

rabbitmqctl  delete_user  Username

(3) 修改用户的密码

rabbitmqctl  change_password  Username  Newpassword

(4) 查看当前用户列表

rabbitmqctl  list_users

2.RabbitMQ的用户角色分类：

none、management、policymaker、monitoring、administrator

RabbitMQ各类角色描述：
none
不能访问 management plugin

management
用户可以通过AMQP做的任何事外加：
列出自己可以通过AMQP登入的virtual hosts  
查看自己的virtual hosts中的queues, exchanges 和 bindings
查看和关闭自己的channels 和 connections
查看有关自己的virtual hosts的“全局”的统计信息，包含其他用户在这些virtual hosts中的活动。

policymaker 
management可以做的任何事外加：
查看、创建和删除自己的virtual hosts所属的policies和parameters

monitoring  
management可以做的任何事外加：
列出所有virtual hosts，包括他们不能登录的virtual hosts
查看其他用户的connections和channels
查看节点级别的数据如clustering和memory使用情况
查看真正的关于所有virtual hosts的全局的统计信息

administrator   
policymaker和monitoring可以做的任何事外加:
创建和删除virtual hosts
查看、创建和删除users
查看创建和删除permissions
关闭其他用户的connections

创建用户并设置角色：
可以创建管理员用户，负责整个MQ的运维，例如：

[plain] view plain copy

 

1. $sudo rabbitmqctl add_user  user_admin  passwd_admin  

赋予其administrator角色：

[plain] view plain copy

 

1. $sudo rabbitmqctl set_user_tags user_admin administrator  

可以创建RabbitMQ监控用户，负责整个MQ的监控，例如：

[plain] view plain copy

 

1. $sudo rabbitmqctl add_user  user_monitoring  passwd_monitor  

赋予其monitoring角色：

[plain] view plain copy

 

1. $sudo rabbitmqctl set_user_tags user_monitoring monitoring  

可以创建某个项目的专用用户，只能访问项目自己的virtual hosts

[plain] view plain copy

 

1. $sudo rabbitmqctl  add_user  user_proj  passwd_proj  

赋予其monitoring角色：

[plain] view plain copy

 

1. $sudo rabbitmqctl set_user_tags user_proj management  

创建和赋角色完成后查看并确认：

[plain] view plain copy

 

1. $sudo rabbitmqctl list_users  

3. 用户权限

用户权限指的是用户对exchange，queue的操作权限，包括配置权限，读写权限。配置权限会影响到exchange，queue的声明和删除。读写权限影响到从queue里取消息，向exchange发送消息以及queue和exchange的绑定(bind)操作。

例如： 将queue绑定到某exchange上，需要具有queue的可写权限，以及exchange的可读权限；向exchange发送消息需要具有exchange的可写权限；从queue里取数据需要具有queue的可读权限。详细请参考官方文档中"How permissions work"部分。

相关命令为：

(1) 设置用户权限

rabbitmqctl  set_permissions  -p  VHostPath  User  ConfP  WriteP  ReadP

(2) 查看(指定hostpath)所有用户的权限信息

rabbitmqctl  list_permissions  [-p  VHostPath]

(3) 查看指定用户的权限信息

rabbitmqctl  list_user_permissions  User

(4)  清除用户的权限信息

rabbitmqctl  clear_permissions  [-p VHostPath]  User

为用户赋权：

[plain] view plain copy

 

1. $sudo rabbitmqctl  set_permissions -p /vhost1  user_admin '.*' '.*' '.*'  

该命令使用户user_admin具有/vhost1这个virtual host中所有资源的配置、写、读权限以便管理其中的资源

查看权限：

[plain] view plain copy

 

1. $sudo rabbitmqctl list_user_permissions user_admin  
2. Listing permissions for user "user_admin" ...  
3. /vhost1<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*