Service Mesh (ASM) mendukung sistem otorisasi Manajemen Akses Sumber Daya (RAM) dan Kontrol Akses Berbasis Peran (RBAC). Bagian ini memperkenalkan kedua sistem otorisasi tersebut serta menjelaskan cara menggunakannya di ASM.
Otorisasi ASM untuk mengakses layanan cloud lainnya
Untuk menggunakan semua fitur ASM, Anda harus memberikan otorisasi kepada ASM agar dapat mengakses layanan cloud lainnya. Sebagai contoh, jika Anda ingin menggunakan ASM untuk mengumpulkan log akses dari data plane, Anda perlu memberikan otorisasi kepada ASM untuk mengakses Log Service. Log Service digunakan untuk membuat Proyek dan penyimpanan log guna menyimpan Audit operasi. ASM menggunakan peran terkait layanan untuk mendapatkan izin pada layanan cloud. Anda harus membuat peran terkait layanan untuk ASM dan menggunakan peran tersebut untuk memberikan izin yang diperlukan kepada ASM. Untuk informasi lebih lanjut, lihat Kelola Peran Terkait Layanan untuk ASM.
Otorisasi pengguna RAM
Jika Anda menggunakan ASM sebagai pengguna RAM, Anda harus memberikan izin yang diperlukan ke akun Anda melalui sistem otorisasi RAM dan RBAC.
RAM authorization
Dalam skenario di mana RAM terintegrasi dengan sistem akun perusahaan, insinyur operasi dan pemeliharaan (O&M) sering mengelola sumber daya cloud sebagai pengguna RAM. Secara default, pengguna RAM tidak memiliki otorisasi untuk memanggil API layanan Alibaba Cloud. Untuk mengizinkan pengguna RAM memanggil API, Anda harus memberikan izin yang diperlukan kepada pengguna RAM tersebut.
Anda dapat memberikan izin tertentu kepada pengguna RAM untuk membatasi operasi yang dapat dilakukan di konsol ASM dan API yang dapat dipanggil oleh pengguna RAM. Ini menerapkan kontrol akses terperinci pada sumber daya cloud. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM dan Peran RAM.
RBAC authorization
Otorisasi RBAC digunakan untuk menerapkan kontrol izin pada instance ASM dan membatasi operasi pada sumber daya ASM kustom (seperti layanan virtual dan aturan tujuan) oleh pengguna RAM. Pengguna RAM dapat memiliki izin RBAC yang berbeda pada instance ASM yang berbeda.
ASM menyediakan empat peran preset yang sesuai dengan izin RBAC yang berbeda. Tabel berikut menjelaskan peran preset yang dapat Anda tetapkan kepada pengguna RAM di konsol ASM.
Peran | Izin RBAC pada sumber daya kluster |
Administrator | Memiliki izin baca dan tulis pada semua sumber daya ASM kustom di semua namespace. |
Administrator sumber daya Istio | Memiliki izin baca dan tulis pada semua sumber daya kecuali gateway ASM (IstioGateway) di namespace tertentu atau semua namespace. |
Pengguna terbatas | Memiliki izin baca-saja pada sumber daya ASM kustom yang terlihat di konsol ASM di namespace tertentu atau semua namespace. |
Tidak ada izin | Tidak memiliki izin baca atau tulis pada semua sumber daya ASM kustom di semua namespace. |
Grant permissions to a RAM user
Buat pengguna RAM di konsol RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Berikan izin RBAC kepada pengguna RAM sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Berikan Izin RBAC kepada Pengguna RAM dan Peran RAM.
Lampirkan kebijakan RAM kepada pengguna RAM sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM dan Peran RAM.