管理环境运维授权
使用AutoMQ Cloud BYOC 产品的过程中, BYOC 环境底层会产生系统日志、Metrics 等数据,AutoMQ 服务方需要用户提供相应的运维授权,以进行系统稳定性监控和故障自愈等运维操作。
本文中提及 AutoMQ 产品服务方、AutoMQ 服务方、AutoMQ,均特指安托盟丘(杭州)科技有限公司。
授权原理
AutoMQ 的运维授权包含两个场景:
场景 1:系统监控报警,需要读权限。 AutoMQ Cloud BYOC 环境运行过程中,环境控制台以及 AutoMQ 数据面集群会产生系统日志、巡检日志、系统Metrics 数据。上述数据会自动上传到用户创建环境时指定的运维 Bucket 中。AutoMQ 服务方需要用户云账号授权对该运维 Bucket 的读权限,这样 AutoMQ 运维平台可以对用户的集群进行稳定性监控和故障自愈。
场景 2:订阅 License 动态更新、新版本更新推送,需要写权限。 AutoMQ BYOC 环境的订阅 License 在触发续费、升降配、新版本 Release 后,环境内控制组件需要感知新的订阅信息、新版本的元数据。此时,AutoMQ 服务方通过运维 Bucket 写入新信息,环境控制台动态加载。
授权操作通过云厂商对象存储提供的 Bucket 授权策略完成,即用户作为 Bucket 所有者,授予 AutoMQ 服务方云账号读取指定运维 Bucket 的权限。
需要授予的读权限明细如下:
| 云厂商 | AutoMQ 服务方云账号 ID | 授予权限列表 |
|---|---|---|
| 阿里云 | 1431115939942888 |
|
| AWS | 381492316447 |
|
| 华为云 | 2ef0b956b1524da8a0cdd6e11c65625f/* |
|
| 腾讯云 | 100005712758 |
|
| GCP | automq-public-ops-authing@automq-public.iam.gserviceaccount.com |
|
环境运维授权申明:
运维 Bucket 必须和数据 Bucket 以及其他应用使用的 Bucket隔离,运维 Bucket 内仅存储系统日志和 Metrics 数据,不包含用户的业务消息等数据,无数据安全风险。
授权操作
各云厂商对象存储产品控制台存在差异,因此运维授权的操作步骤也存在差异。操作步骤请参考下方列出的文档: