RabbitMQ用户角色及权限控制

#######################
#用户角色
#######################

RabbitMQ的用户角色分类：
none、management、policymaker、monitoring、administrator

RabbitMQ各种角色描述：
none
不能访问 management plugin

management
用户能够经过AMQP作的任何事外加：
列出本身能够经过AMQP登入的virtual hosts  
查看本身的virtual hosts中的queues, exchanges 和 bindings
查看和关闭本身的channels 和 connections
查看有关本身的virtual hosts的“全局”的统计信息，包含其余用户在这些virtual hosts中的活动。

policymaker 
management能够作的任何事外加：
查看、建立和删除本身的virtual hosts所属的policies和parameters

monitoring  
management能够作的任何事外加：
列出全部virtual hosts，包括他们不能登陆的virtual hosts
查看其余用户的connections和channels
查看节点级别的数据如clustering和memory使用状况
查看真正的关于全部virtual hosts的全局的统计信息

administrator   
policymaker和monitoring能够作的任何事外加:
建立和删除virtual hosts
查看、建立和删除users
查看建立和删除permissions
关闭其余用户的connections

建立用户并设置角色：
能够建立管理员用户，负责整个MQ的运维，例如：

1. $sudo rabbitmqctl add_user  user_admin  passwd_admin  

赋予其administrator角色：

1. $sudo rabbitmqctl set_user_tags user_admin administrator  

能够建立RabbitMQ监控用户，负责整个MQ的监控，例如：

1. $sudo rabbitmqctl add_user  user_monitoring  passwd_monitor  

赋予其monitoring角色：

1. $sudo rabbitmqctl set_user_tags user_monitoring monitoring  

能够建立某个项目的专用用户，只能访问项目本身的virtual hosts

1. $sudo rabbitmqctl  add_user  user_proj  passwd_proj  

赋予其monitoring角色：

1. $sudo rabbitmqctl set_user_tags user_proj management  

建立和赋角色完成后查看并确认：

1. $sudo rabbitmqctl list_users  

########################
#RabbitMQ 权限控制：
########################
默认virtual host："/"
默认用户：guest 
guest具备"/"上的所有权限，仅能有localhost访问RabbitMQ包括Plugin，建议删除或更改密码。可经过将配置文件中loopback_users置孔来取消其本地访问的限制：
[{rabbit, [{loopback_users, []}]}]

用户仅能对其所能访问的virtual hosts中的资源进行操做。这里的资源指的是virtual hosts中的exchanges、queues等，操做包括对资源进行配置、写、读。配置权限可建立、删除、资源并修改资源的行为，写权限可向资源发送消息，读权限从资源获取消息。好比：
exchange和queue的declare与delete分别须要exchange和queue上的配置权限
exchange的bind与unbind须要exchange的读写权限
queue的bind与unbind须要queue写权限exchange的读权限
发消息(publish)需exchange的写权限
获取或清除(get、consume、purge)消息需queue的读权限

对何种资源具备配置、写、读的权限经过正则表达式来匹配，具体命令以下：
set_permissions [-p <vhostpath>] <user> <conf> <write> <read>
其中，<conf> <write> <read>的位置分别用正则表达式来匹配特定的资源，如'^(amq\.gen.*|amq\.default)$'能够匹配server生成的和默认的exchange，'^$'不匹配任何资源

须要注意的是RabbitMQ会缓存每一个connection或channel的权限验证结果、所以权限发生变化后须要重连才能生效。

为用户赋权：

[plain] view plaincopy

1. $sudo rabbitmqctl  set_permissions -p /vhost1  user_admin '.*' '.*' '.*'  

该命令使用户user_admin具备/vhost1这个virtual host中全部资源的配置、写、读权限以便管理其中的资源

查看权限：

[plain] view plaincopy

1. $sudo rabbitmqctl list_user_permissions user_admin  

2. Listing permissions for user "user_admin" ...  

3. /vhost1<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*  

4.   

5. $sudo rabbitmqctl list_permissions -p /vhost1  

6. Listing permissions in vhost "/vhost1" ...  

7. user_admin<span style="white-space:pre">  </span>.*<span style="white-space:pre"> </span>.*<span style="white-space:pre"> </span>.*