4.20. 为管理操作配置基于角色的访问控制

流程

1. 为您的代理部署编辑 ActiveMQArtemis CR 实例。

2. 添加以下环境变量，将代理配置为使用您在 ActiveMQArtemis CR 中指定的 RBAC 配置。

   spec:
     ..
     env:
     - name: JAVA_ARGS_APPEND
       value: "-Dhawtio.roles=* -Djavax.management.builder.initial=org.apache.activemq.artemis.core.server.management.ArtemisRbacMBeanServerBuilder"
     ..

   Copy to Clipboard Toggle word wrap

3. 在 brokerProperties 属性中，为管理操作添加基于角色的访问控制配置。

   管理操作匹配地址的格式是：

   mops.<resource type>.<resource name>.<operation>

   例如，以下配置为 activemq.management 地址授予 manager 角色 view 和 edit 权限。操作位置中的星号 rolebinding 授予对所有操作的访问权限。

   spec:
     ..
     brokerProperties:
     - securityRoles."mops.address.activemq.management.*".manager.view=true
     - securityRoles."mops.address.activemq.management.*".manager.edit=true

   Copy to Clipboard Toggle word wrap

   在以下示例中，mops 前缀后的数字符号(TALM)将 amq 角色 视图 和编辑 权限授予所有 MBeans。

   spec:
     ..
     brokerProperties:
     - securityRoles."mops.#".amq.view=true
     - securityRoles."mops.#".amq.edit=true
     ..

   Copy to Clipboard Toggle word wrap

4. 使用 resourceTemplates 属性定义运行脚本的 init 容器，以删除每个代理容器中的 /amq/init/config/amq-broker/etc/management.xml 文件中的默认 RBAC 配置，如下例所示。您必须删除默认的 RBAC 配置，以便代理使用您在 ActiveMQArtemis CR 中创建的新 RBAC 配置。

   spec:
     ..
     resourceTemplates:
     - selector:
         kind: "StatefulSet"
       patch:
         kind: "StatefulSet"
         spec:
         template:
          spec:
           initContainers:
           - name: "<BROKER_NAME>-container-init"
             args:
             -  '-c'
             -  '/opt/amq/bin/launch.sh && /opt/amq-broker/script/default.sh; echo "Empty management.xml";echo "<management-context xmlns=\"http://activemq.apache.org/schema\" />" > /amq/init/config/amq-broker/etc/management.xml'

   Copy to Clipboard Toggle word wrap

   将 <BROKER_NAME> 替换为 CR 实例中 metadata.name 属性的值。

5. 保存 CR。