Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Administración de Usuarios y Permisos de RabbitMQ: Una Guía de Línea de Comandos

Domina los comandos de `rabbitmqctl` para una gestión robusta de usuarios y permisos en RabbitMQ. Esta guía completa proporciona instrucciones paso a paso sobre la creación de nuevos usuarios, la asignación de roles de administrador o de aplicación utilizando etiquetas, la configuración de permisos detallados de host virtual (lectura/escritura/configuración) y la revocación segura del acceso, garantizando una administración controlada a través de la línea de comandos.

53 vistas

Administración de Usuarios y Permisos de RabbitMQ: Una Guía de Línea de Comandos

La gestión de usuarios y la definición de derechos de acceso es un aspecto fundamental para asegurar cualquier infraestructura de intermediario de mensajes (message broker). RabbitMQ, un potente intermediario de mensajes, proporciona mecanismos robustos para la autenticación y autorización de usuarios, gestionados principalmente a través de la utilidad de línea de comandos rabbitmqctl. Esta guía se centra exclusivamente en el uso de rabbitmqctl para dominar la administración de usuarios, cubriendo desde la creación y asignación de roles hasta la configuración detallada de permisos en hosts virtuales.

Los permisos configurados correctamente aseguran que las aplicaciones y los administradores interactúen con el intermediario solo cuando sea necesario, minimizando los riesgos de seguridad y la confusión operativa. Al aprovechar estas herramientas de línea de comandos, puede crear scripts y automatizar configuraciones de seguridad complejas de manera eficiente.

Prerrequisitos

Antes de continuar, asegúrese de tener lo siguiente:

  1. Servidor RabbitMQ Instalado: El intermediario debe estar en ejecución.
  2. Acceso a rabbitmqctl: Debe tener los permisos necesarios (generalmente privilegios de administrador) para ejecutar comandos contra la instancia de RabbitMQ en ejecución. Los comandos se ejecutan típicamente desde la máquina que aloja el servidor RabbitMQ.

Gestión de Usuarios con rabbitmqctl

La herramienta rabbitmqctl utiliza la familia de comandos user_* para todas las operaciones relacionadas con el usuario. Es crucial entender que los usuarios de RabbitMQ son distintos de los usuarios del sistema operativo.

1. Listado de Usuarios Existentes

Para ver quién tiene acceso actualmente al intermediario, utilice el comando list_users:

rabbitmqctl list_users

Salida de Ejemplo:

Listing users ...
user: guest   tags: [administrator]
user: app_prod tags: [policymaker]

2. Creación de un Nuevo Usuario

Al configurar una nueva cuenta de servicio o un administrador, debe crear el usuario y asignarle una contraseña inicial.

Para crear un usuario llamado api_user con la contraseña securepass:

rabbitmqctl add_user api_user securepass

3. Modificación de Etiquetas de Usuario (Roles)

Las etiquetas de usuario definen roles predefinidos que otorgan capacidades administrativas específicas. Las etiquetas más comunes son administrator, policymaker y management.

  • administrator: Puede modificar usuarios, permisos, vhosts y establecer parámetros del clúster.
  • policymaker: Puede establecer políticas (por ejemplo, para alta disponibilidad o TTL de mensajes).
  • management: Puede usar la interfaz del complemento de gestión (Management Plugin) (si está instalado).

Visualización de Etiquetas Actuales

Utilice list_user_tags para ver los roles actuales:

rabbitmqctl list_user_tags api_user

Configuración o Sobrescritura de Etiquetas

Para asignar la etiqueta management a api_user:

rabbitmqctl set_user_tags api_user management

Para añadir la etiqueta policymaker además de las etiquetas existentes, utilice el comando add_tag:

rabbitmqctl set_user_tags api_user administrator policymaker

Eliminación de Etiquetas

Para eliminar una etiqueta específica:

rabbitmqctl clear_user_tags api_user policymaker

4. Cambio de Contraseña de un Usuario

Si las credenciales necesitan rotación, utilice el comando change_password:

rabbitmqctl change_password api_user newsecurepass123

5. Eliminación de un Usuario

Para eliminar completamente un usuario y revocar todo el acceso asociado:

rabbitmqctl delete_user api_user

Advertencia: Generalmente se recomienda eliminar el usuario guest en entornos de producción por motivos de seguridad, aunque esto requiere crear primero un nuevo usuario administrativo.

Gestión de Permisos de Host Virtual

Los permisos en RabbitMQ se definen por cada Host Virtual (vhost). Un vhost actúa como un espacio de nombres para colas, intercambios y enlaces. Por defecto, RabbitMQ tiene un vhost raíz llamado /.

1. Listado de Vhosts

Primero, identifique los vhosts disponibles:

rabbitmqctl list_vhosts

2. Configuración de Permisos para un Usuario en un VHost

El comando set_permissions es el más crítico para la seguridad de la aplicación. Otorga a un usuario derechos para configurar, leer o escribir recursos dentro de un vhost específico.

Sintaxis: set_permissions <vhost> <user> <conf> <read> <write>

Los valores de los permisos son expresiones regulares (.* significa todos los recursos).

Ejemplo: Otorgar Acceso Total a un VHost Específico

Si queremos que app_prod tenga acceso CRUD completo (Configurar, Leer, Escribir) solo a /prod_vhost:

rabbitmqctl set_permissions -p /prod_vhost app_prod "^.*" "^.*" "^.*"
Permiso Significado (Regex) Descripción
Configurar (conf) .* Puede crear/eliminar intercambios, colas, enlaces y establecer parámetros de vhost.
Leer (read) .* Puede consumir mensajes y obtener el estado de la cola/intercambio.
Escribir (write) .* Puede publicar mensajes y crear enlaces.

Ejemplo: Restringir a un Usuario Solo a la Publicación

Un patrón común para los productores tipo 'manguera de bomberos' (firehose producers) es restringirlos únicamente a la escritura:

# El usuario 'publisher' puede escribir pero no puede configurar ni leer mensajes en /analytics_vhost
rabbitmqctl set_permissions -p /analytics_vhost publisher "^$" "^$" "^.*$"

3. Eliminación de Permisos

Para eliminar por completo todos los permisos que un usuario tiene en un vhost específico, utilice clear_permissions:

rabbitmqctl clear_permissions -p /prod_vhost app_prod

4. Listado de Permisos de Usuario

Para verificar los permisos otorgados a un usuario específico en un vhost:

rabbitmqctl list_permissions -p /prod_vhost app_prod

Mejores Prácticas para la Administración de Usuarios

  • Principio del Mínimo Privilegio (PoLP): Siempre otorgue los permisos mínimos necesarios para que la aplicación o el usuario funcionen. Evite usar la etiqueta administrator a menos que sea absolutamente necesario.
  • Vhosts Dedicados: Utilice hosts virtuales diferentes para distintos entornos (por ejemplo, dev, staging, prod) y controle el acceso estrictamente entre ellos.
  • Evite el Usuario Guest: Por seguridad, el usuario predeterminado guest debe deshabilitarse o restringirse (por defecto, solo tiene acceso a localhost).
  • Scripting: Dado que todos estos comandos son idempotentes y basados en línea de comandos, automatice mediante scripts las rutinas de configuración y eliminación de usuarios para una implementación coherente.

Al dominar estos comandos de rabbitmqctl, usted obtiene un control granular y programable sobre quién puede acceder a los recursos de su intermediario de mensajes, lo que lleva a una implementación de RabbitMQ más segura y manejable.