tencent cloud

消息队列 RabbitMQ 版

动态与公告
新功能发布记录
公告
产品简介
TDMQ 产品系列介绍与选型
什么是消息队列 RabbitMQ 版
产品优势
应用场景
开源托管版与 Serverless 版差异说明
开源版本支持说明
与开源 RabbitMQ 对比
高可用
使用限制
RabbitMQ 相关概念
开区地域
相关云服务
产品计费
计费概述
价格说明
计费示例
按小时付费转包年包月
续费说明
查看消费明细
欠费说明
退费说明
快速入门
入门流程指引
步骤1:准备工作
步骤2:创建 RabbitMQ 集群
步骤3:配置 Vhost
步骤4:使用 SDK 收发消息
步骤5:查询消息
步骤6:销毁资源
用户指南
使用流程指引
配置账号权限
创建集群
配置 Vhost
连接集群
管理消息
配置高级特性
管理集群
查看监控和配置告警
实践教程
实践教程使用说明
RabbitMQ 客户端实践教程
RabbitMQ 消息可靠性实践教程
RabbitMQ 支持 MQTT 协议说明
迁移集群
迁移方案概述
步骤1:购买云上实例
步骤2:迁移元数据上云
步骤3:开启双读写
API 参考(开源托管版)
API 概览
API 参考(Serverless 版)
History
Introduction
API Category
Making API Requests
Relevant APIs for RabbitMQ Serverless PAAS Capacity
RabbitMQ Serverless Instance Management APIs
Data Types
Error Codes
SDK 文档
SDK 概述
Spring Boot Starter 接入
Spring Cloud Stream 接入
Java SDK
Go SDK
Python SDK
PHP SDK
安全与合规
权限管理
网络安全
删除保护
变更记录
云 API 审计
常见问题
服务等级协议
联系我们
文档消息队列 RabbitMQ 版用户指南配置 Vhost配置 Vhost 权限

配置 Vhost 权限

PDF
聚焦模式
字号
最后更新时间: 2026-01-04 15:30:29
您可以通过用户与权限管理功能为每个生产者和消费者配置独立的用户身份,为不同用户赋予不同的 Vhost 和 Vhost 下不同资源的操作权限,以达到不同用户之间权限隔离的目的。当客户端进行消息生产或消费时,系统会进行身份鉴权,未被授权的操作将被拒绝。
这种机制有效实现了不同业务单元之间的权限隔离,既保障了消息系统的安全性,又满足了多团队协作场景下的资源管控需求,通过权限最小化原则从根本上避免了越权访问导致的数据混乱问题。

名词解释

用户:TDMQ RabbitMQ 版集群内部做权限划分的最小单位,您可以通过为用户配置权限为其赋予不同 Vhost 下的配置和读写权限。
用户密码:用户可以通过在客户端中添加用户名和密码来访问 TDMQ RabbitMQ 版集群进行消息的生产消费。
权限:用户对该 Vhost 下 Exchange、Queue 的操作权限,包括配置权限和读写权限。
配置权限:影响 Exchange、Queue 的声明和删除。
读写权限:影响从 Queue 里读取消息,向 Exchange 发送消息以及 Queue 和 Exchange 的绑定 (binding) 操作。

使用限制

单集群下用户数量上限为20个。
每个开源托管版集群下都默认有一个名为 “admin” 的用户,不支持被删除和修改密码,您可以直接使用这个用户,也可以重新新建用户。Serverless 集群无默认用户。

使用场景

用户需要安全地使用 TDMQ RabbitMQ 版进行消息的生产消费。
用户需要对不同的 Vhost 设置不同用户的生产消费权限。
例如:一个公司有 A 部门和 B 部门,A 部门的系统产生交易数据,B 部门的系统根据这些交易数据做数据分析和展示。那么遵循权限最小化原则,可以创建两个用户,A 部门用户只授予往交易系统 Vhost 中生产消息的权限,B 部门则只授予消费消息的权限。这样可以很大程度避免由于权限不清带来的数据混乱、业务脏数据等问题。

操作步骤

新增用户

1. 登录 TDMQ RabbitMQ 控制台
2. 在左侧导航栏选择集群管理 > 用户与权限,选择好地域后,再选择目标集群,进入集群的用户与权限管理页面。
3. 在新建用户页面,填写用户名称密码和说明:
开源托管版
Serverless 版
参数
说明
用户名称
不能为空,支持自定义,但需要符合命名规则:不能只输入“.”,1-64个字符,只能包含字母、数字、“.”、“-”及“_”。用户名创建成功后,不可修改。
用户密码
设置用户密码,需要符合密码规则:8-64个字符,至少要包含小写字母、大写字母、数字、特殊字符【()`~!@#$%^&*_=|{}[]:;',.?/】中的两项。
角色
选择为用户赋予的角色,不同的角色拥有不同级别的权限。为用户赋予角色时,请遵循权限最小化原则,避免因过度授权造成的安全风险。
none
无法登录 Web 控制台,通常是普通的生产者和消费者。
management
可以登录 Web 控制台;
可以查看其名下的 Vhost,以及其中的 Queue、Exchange 和 Binding;
可以查看和关闭其名下的 Channel 和 Connection。
policymaker
在 “management” 所有权限的基础上:
可以查看、修改、删除其名下的 Vhost 的策略和参数。
monitoring
在“management”所有权限的基础上:
可以查看所有 Vhost、Connection 和 Channel 列表;
可以查看节点相关信息(如磁盘使用情况、内存使用情况、进程数等)。
administrator
超级管理员,在 “policymaker” 和 “monitoring” 所有权限的基础上:
可以创建和删除 Vhost;
可以查看、创建和删除用户和权限;
关闭其他用户的 Connection。
最大连接数:
该用户的最大连接数,不配置则默认无限制。
最大通道数:
该用户的最大通道数,不配置则默认无限制。
说明
选填,填写用户说明。
参数
说明
用户名称
不能为空,支持自定义,但需要符合命名规则:不能只输入“.”,1-64个字符,只能包含字母、数字、“.”、“-”及“_”。用户名创建成功后,不可修改。
用户密码
设置用户密码,需要符合密码规则:8-64个字符,至少要包含小写字母、大写字母、数字、特殊字符【()`~!@#$%^&*_=|{}[]:;',.?/】中的两项。
确认密码
二次输入确认密码,确保密码设置无误。
说明
选填,填写用户说明。
4. 单击提交,完成当前集群的用户创建。

配置权限

1. 用户与权限页面,选择权限列表页签,进入权限列表,单击配置权限
2. 在权限配置页面,选择好需要配置权限的 Vhost 和用户,并设置好权限规则。
权限规则设置支持使用正则表达式匹配资源。例如,勾选“配置”且在输入框内输入 “test-.*”,则表示授权给该用户当前 Vhost 下,所有名称以 “test-” 开头的资源的配置权限。
配置权限支持 Exchange、Queue 的声明和删除。
读写权限支持从 Queue 里读取消息,向 Exchange 发送消息以及 Queue 和 Exchange 的绑定(Bind)操作。



3. 单击提交,完成权限配置。
4. 将用户名和密码添加到客户端的参数中。如何在客户端代码中添加密钥参数请参考 TDMQ RabbitMQ 的 SDK 文档,对应其中的 Username 和 password。
5. 检查权限是否生效。您可以运行配置好的客户端访问对应 Vhost 中的 Exchange 和 Queue 资源,按照刚刚配置的权限进行生产或消费,看是否会产生没有权限的报错信息,如果没有即代表配置成功。

编辑权限

编辑权限前请确保当前业务已经没有使用该用户进行消息的生产消费再进行此项操作,否则可能会出现客户端无法生产消费而导致的异常。
1. 用户与权限页面,选择权限列表页签,进入权限列表,单击配置权限
2. 在权限配置页面,选择好需要编辑权限的 Vhost 和用户,勾选(或取消)权限,单击提交即可修改该权限。

删除权限

删除权限前请确保当前业务已经没有使用该用户进行消息的生产消费再进行此项操作,否则可能会出现客户端无法生产消费而导致的异常。
1. 在用户与权限列表页面,找到需要删除权限的权限,单击操作列的删除
2. 在删除的弹框中,单击删除,即可删除该权限。




上一篇: 创建 Vhost下一篇: 创建 Exchange

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈