分布式消息服务Kafka已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等，以达到用户权限的精细管理，保证访问的安全性。

IAM简介

统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。

IAM涉及主要概念

l 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。

l 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。

l 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。

l 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。

l 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。

l 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

系统策略

Kafka默认提供三种系统策略供用户选择，策略仅包括管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。Kafka的三种默认策略分别是管理员策略（admin），使用者策略（user），浏览者策略（reviewer），三种策略的权限模型具体如下：

功能模块	权限名称	IAM角色
功能模块	权限名称	admin	user	reviewer
实例管理	磁盘扩容	Y
实例管理	节点扩容	Y
实例管理	规格扩容	Y
实例管理	实例列表	Y	Y	Y
实例管理	主题管理	Y	Y	Y
实例管理	添加消费者权限	Y	Y
实例管理	添加生产者权限	Y	Y
实例管理	添加主题	Y	Y
实例管理	应用用户管理	Y	Y	Y
实例管理	批量创建消费组	Y	Y
实例管理	批量创建	Y	Y
实例管理	批量创建用户	Y	Y
实例管理	批量订阅	Y	Y
实例管理	批量修改权限	Y	Y
实例管理	集群信息	Y	Y	Y
实例管理	消费组管理	Y	Y	Y
实例管理	消费拨测	Y	Y
实例管理	新建消费组	Y	Y
实例管理	新建Topic	Y	Y
实例管理	新建用户	Y	Y
实例管理	删除消费组	Y	Y
实例管理	删除Topic	Y	Y
实例管理	删除用户	Y	Y
实例管理	修改	Y	Y
实例管理	实例详情	Y	Y	Y
实例管理	操作审计	Y	Y	Y
实例管理	监控信息	Y	Y	Y
实例管理	消息删除	Y	Y
实例管理	分区状态	Y	Y	Y
实例管理	生产拨测	Y	Y
实例管理	offset查询	Y	Y	Y
实例管理	时间戳查询	Y	Y	Y
实例管理	重置消费位置	Y	Y
实例管理	修改用户	Y	Y
实例管理	命名空间管理	Y	Y	Y
实例管理	获取用户Token	Y	Y	Y
实例管理	新建命名空间	Y	Y
实例管理	分区迁移	Y	Y
实例管理	修改命名空间	Y	Y
实例管理	创建实例	Y
实例管理	修改实例名称	Y	Y
实例管理	续订	Y
实例管理	退订	Y
实例管理	broker详情	Y	Y	Y