概述

默认情况下,子账号没有使用Kafak控制台的权限。若要允许子账号操作主账号资源权限,必须创建访问控制策略并将这些策略附加到对应的子账号或群组。策略、群组、子账号等访问控制相关介绍详见:访问控制文档

子账号权限管理

可授权 Kafka Action 和对应资源

ActionAction 描述资源
comb:kafka:GetClusters集群列表页comb:kafka:::*
comb:kafka:GetCluster集群详情页comb:kafka:::instance/${clusterName}
comb:kafka:GetOpLogs集群操作日志页comb:kafka:::instance/${clusterName}
comb:kafka:GetTopicsTopic管理页comb:kafka:::*
comb:kafka:GetTopicPerfMetricsTopic管理页性能数据comb:kafka:::instance/${topicName}
comb:kafka:GetTopicTopic详情页comb:kafka:::instance/${topicName}
comb:kafka:GetConsumersTopic消费者组
comb:kafka:GetConsumerTopic消费者详情comb:kafka:::instance/${topicName}
comb:kafka:GetTopicOverviewTopic信息总览comb:kafka:::instance/${topicName}

系统策略

KafkaFullAccess - Kafka管理权限

包含集群管理和topic管理的所有权限。控制台的创建过程还包含下单、支付等计费流程,即财务权限, 已在该权限包含。

{
    "version": 1,
    "statement": [
        {
            "action": [
                "comb:kafka:*",
                "comb:finance:*"
            ],
            "effect": "allow",
            "resource": [
                "comb:kafka:*:*:*"
            ]
        }
    ]
}

Note

管理权限目前仅供展示,不支持向子账号赋予该权限。

KafkaReadOnlyAccess - Kafka只读权限

包含查询集群,查询Topic等只读权限,但不包含创建、删除等管理权限。

{
    "version": 1,
    "statement": [
        {
            "action": [
                "comb:kafka:GetCluster",
                "comb:kafka:GetClusters",
                "comb:kafka:GetTopic",
                "comb:kafka:GetTopics",
                "comb:kafka:GetTopicPerfMetrics",
                "comb:kafka:GetConsumers",
                "comb:kafka:GetConsumer",
                "comb:kafka:GetTopicOverview",
                "comb:kafka:GetOpLogs"
            ],
            "effect": "allow",
            "resource": [
                "comb:kafka:*:*:*"
            ]
        }
    ]
}

控制台依赖权限识别

考虑到权限组合复杂,若子账号没有权限,控制台将给出提示,说明依赖的 Action 和 Resourece。详见:权限故障排查