Ubuntu RabbitMQ如何进行权限控制

Ubuntu RabbitMQ权限控制指南
RabbitMQ的权限控制通过用户角色分级、虚拟主机（vhost）隔离及资源权限分配实现，确保不同用户仅能访问和操作其授权的资源。以下是具体操作流程及关键说明：

一、准备工作：启用管理插件（可选但推荐）

若需通过Web界面管理权限，需先启用rabbitmq_management插件（默认已安装）。执行以下命令：

sudo rabbitmq-plugins enable rabbitmq_management

启用后，可通过http://<服务器IP>:15672访问管理界面（默认端口15672）。

二、用户角色分级（权限基础）

RabbitMQ定义了5种用户角色，决定用户可执行的操作：

• none：无任何权限，无法访问management plugin。
• management：可访问Web管理界面，查看自身所在vhost的队列、交换机等资源，管理自身连接/通道。
• policymaker：包含management所有权限，可管理vhost内的策略（Policy）和参数（Parameter）。
• monitoring：包含management所有权限，可查看所有vhost、连接、通道及节点级信息（如内存、磁盘使用量）。
• administrator：最高权限，可管理所有vhost、用户、权限、策略，关闭任意连接。

三、权限控制核心操作

权限控制需结合用户创建、虚拟主机管理及权限分配三步：

1. 创建用户

使用rabbitmqctl add_user命令创建用户（替换<username>、<password>为实际值）：

sudo rabbitmqctl add_user <username> <password>

例如，创建用户app_user，密码app_pass123：

sudo rabbitmqctl add_user app_user app_pass123

2. 设置用户角色

使用rabbitmqctl set_user_tags命令为用户分配角色（替换<username>、<tag>为实际值）：

sudo rabbitmqctl set_user_tags <username> <tag>

例如，将app_user设为monitoring角色（可监控所有资源）：

sudo rabbitmqctl set_user_tags app_user monitoring

若需最高权限，设为administrator：

sudo rabbitmqctl set_user_tags app_user administrator

3. 管理虚拟主机（vhost）

虚拟主机是RabbitMQ的隔离单元，用于分隔不同业务资源（如队列、交换机）。

• 创建vhost：使用rabbitmqctl add_vhost命令（替换<vhost_name>为实际值）：

  sudo rabbitmqctl add_vhost <vhost_name>
  

  例如，创建vhostproject_queue：

  sudo rabbitmqctl add_vhost project_queue
  

• 删除vhost：使用rabbitmqctl delete_vhost命令（替换<vhost_name>为实际值）：

  sudo rabbitmqctl delete_vhost <vhost_name>
  

• 查看vhost列表：使用rabbitmqctl list_vhosts命令。

4. 分配资源权限

使用rabbitmqctl set_permissions命令为用户分配vhost内的资源权限（替换<vhost_name>、<username>、<conf>、<write>、<read>为实际值）：

sudo rabbitmqctl set_permissions -p <vhost_name> <username> "<conf>" "<write>" "<read>"

• 参数说明：
  • -p <vhost_name>：指定虚拟主机（默认为/，即根vhost）。
  • <conf>：配置权限（正则表达式，匹配可创建/删除的资源，如.*表示所有资源）。
  • <write>：写权限（正则表达式，匹配可发送消息的资源，如.*表示所有队列/交换机）。
  • <read>：读权限（正则表达式，匹配可接收消息的资源，如.*表示所有队列）。
• 示例：
  • 授予app_user在project_queue vhost下所有资源的完全权限：

    sudo rabbitmqctl set_permissions -p project_queue app_user ".*" ".*" ".*"
    

  • 授予app_user仅在project_queue vhost下的order_queue队列发送消息的权限：

    sudo rabbitmqctl set_permissions -p project_queue app_user "^order_queue$" "" "order_queue"
    

    （^order_queue$表示仅匹配order_queue队列，""表示无配置权限，order_queue表示仅能读取该队列）。

四、权限验证与管理

• 查看用户权限：使用rabbitmqctl list_permissions命令（替换<vhost_name>为实际值）：

  sudo rabbitmqctl list_permissions -p <vhost_name>
  

  例如，查看project_queue vhost下所有用户的权限：

  sudo rabbitmqctl list_permissions -p project_queue
  

  输出示例：

  app_user    .*    .*    .*
  

• 删除用户权限：使用rabbitmqctl clear_permissions命令（替换<vhost_name>、<username>为实际值）：

  sudo rabbitmqctl clear_permissions -p <vhost_name> <username>
  

  例如，清除app_user在project_queue vhost下的权限：

  sudo rabbitmqctl clear_permissions -p project_queue app_user
  ```。  
  
  
  

五、安全建议

• 禁用默认用户：RabbitMQ默认用户guest（密码guest）仅能通过localhost访问，建议删除或修改其密码并限制访问：

  sudo rabbitmqctl delete_user guest
  

• 最小权限原则：为用户分配仅满足业务需求的最小权限（如仅需发送消息则仅给write权限）。
• 修改默认端口：若服务器暴露在公网，建议修改RabbitMQ默认端口（5672/15672），并通过防火墙限制访问源IP。