概述

AutoMQ Cloud 支持身份识别以及 RBAC 权限控制。本文介绍AutoMQ Cloud 产品体系中账号的基础概念。

账户类型

AutoMQ Cloud 提供了成员账户 以及服务账户 两种账号类型，两者定义和区别如下：

账户类型	作用和区别
成员账户（Member Account）	场景：成员账户对应一个自然人，一般由企业员工持有和使用。访问：通过环境控制台 WebUI 访问 AutoMQ Cloud。身份识别：用户名和密码登录认证。
服务账户（Service Account）	场景：服务账户仅用于应用程序、API 集成，一般配置在应用代码中。访问：服务账户一般通过 API、Terraform 等方式访问 AutoMQ Cloud。身份识别： Access Key Id 和 Secret Access Key，通过签名进行校验。

成员账户是通过系统默认生成或者已有环境成员手工创建的环境级别的操作人身份凭证信息。

成员账户根据需要授予的权限范围支持多种不同角色，目前支持 Admin、Operator 和 Viewer 角色。

每个环境的初始 Admin 成员是由系统在创建环境时自动创建，后续的成员可以由 Admin 成员手工创建。

当创建了一个新的环境时，系统会为当前环境自动初始化创建一个 Admin 角色的成员。后续再由初始的 Admin 成员创建新的成员。

服务账户是 AutoMQ Cloud 提供的，用于外部系统通过 API、应用集成访问 AutoMQ 的账户身份。服务账户本身不提供任何登录密码，也无法在 WebUI 操作。

服务账户可以由成员账户在AutoMQ 控制台创建，或者通过 API 进行创建。

AutoMQ Cloud 中包括成员账户 以及服务账户 均支持 RBAC（Role Based Access Control）。系统预置了多种权限角色，每种权限角色拥有不同的操作权限范围，Admin 角色的账户执行授权操作，将角色赋予其他账户。

目前支持的权限角色信息如下：

角色	权限说明
Admin 角色	角色说明：环境管理员角色权限范围：拥有环境内的所有资源的操作权限，包括不限于：成员管理集成管理实例管理
Operator 角色	角色说明：环境操作成员角色权限范围：拥有环境内的实例资源的写操作权限，不能管理环境和其他成员：集成管理实例管理
Viewer 角色	角色说明：环境只读成员角色权限范围：拥有环境内的实例资源的读操作权限，不能管理环境和其他成员：实例查看集成查看