Topik ini menjelaskan kebijakan Manajemen Akses Sumber Daya (RAM) yang terkait dengan Enterprise Distributed Application Service (EDAS).
Variabel sumber daya dalam kebijakan
Dalam sebuah kebijakan, variabel berikut digunakan untuk mendefinisikan suatu sumber daya:
$regionid: ID wilayah tempat sumber daya diterapkan, seperti cn-shanghai. Untuk informasi lebih lanjut, lihat Wilayah dan Zona.
$namespace: ID namespace mikroservis. Gambar berikut menunjukkan ID dari sebuah namespace mikroservis.
Untuk melihat ID namespace mikroservis, masuk ke Konsol EDAS. Di panel navigasi kiri, pilih . Pada halaman Microservices Namespace, Anda dapat melihat ID setiap namespace mikroservis.
$clusterId: ID kluster. Contoh: 8c349f69-505c-436f-8dc7-**********. Gambar berikut menunjukkan ID sebuah kluster.
Untuk melihat ID kluster, masuk ke Konsol EDAS. Di panel navigasi kiri, pilih . Pada halaman Kluster ECS, klik ID kluster yang diinginkan di kolom Cluster ID/Name untuk pergi ke halaman Cluster Details dan melihat ID kluster tersebut.
$applicationId: ID aplikasi. Contoh: ec8e38a3-3dca-47a7-b6f9-5**********. Gambar berikut menunjukkan ID sebuah aplikasi.
Untuk melihat ID aplikasi, masuk ke Konsol EDAS. Di panel navigasi kiri, pilih . Pada halaman Aplikasi, klik nama aplikasi yang diinginkan di kolom Application Name untuk pergi ke halaman detail aplikasi. Pada tab Basic Information halaman detail aplikasi, Anda dapat melihat ID aplikasi tersebut.
Detail tentang kebijakan
Berikut ini menjelaskan bagaimana izin yang ditentukan EDAS sesuai dengan kebijakan RAM.
Manajemen namespace mikroservis
Tabel 1. Manajemen Namespace Mikroservis
Kode | Deskripsi | Aksi dependensi | Sumber daya |
1.1 | Membuat namespace mikroservis. | edas:CreateNamespace | acs:edas:$regionid:$accountid:namespace/* |
1.2 | Menghapus namespace mikroservis. | edas:ReadNamespace | acs:edas:$regionid:$accountid:namespace/$namespace |
edas:DeleteNamespace | |||
1.4 | Memodifikasi namespace mikroservis. | edas:ManageNamespace | acs:edas:$regionid:$accountid:namespace/$namespace |
edas:ReadNamespace | |||
1.5 | Menampilkan namespace mikroservis. | edas:ReadNamespace | acs:edas:$regionid:$accountid:namespace/$namespace |
Tabel 2. Manajemen Kluster
Kode | Deskripsi | Aksi dependensi | Sumber daya |
2.1 | Membuat kluster. | edas:CreateCluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/* |
2.2 | Menghapus kluster. | edas:ReadCluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
edas:DeleteCluster | |||
2.4 | Mengelola kluster. | edas:ReadCluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
edas:ManageCluster | |||
2.3 | Menampilkan kluster. | edas:ReadCluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
Tabel 3. Manajemen Aplikasi
Kode | Deskripsi | Aksi dependensi | Sumber daya |
3.1 | Membuat aplikasi. | edas:CreateApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/* |
3.2 | Menghapus aplikasi. | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
edas:DeleteApplication | |||
3.3 | Menampilkan aplikasi. | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
3.4 | Mengelola aplikasi. | edas:ManageApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
edas:ReadApplication | |||
3.5 | Mengonfigurasi aplikasi. | edas:ConfigApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
edas:ReadApplication | |||
3.6 | Mengelola log. | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
edas:ManageAppLog |
Tabel 4. Manajemen Mikroservis
Kode | Deskripsi | Aksi dependensi | Sumber daya |
4.1 | Menampilkan mikroservis. | edas:ReadService | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
4.2 | Menguji mikroservis. | edas:TestService | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
4.3 | Mengelola mikroservis. | edas:ReadService | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
edas:ManageService |
Tabel 5. Manajemen Konfigurasi
Kode | Deskripsi | Aksi dependensi | Sumber daya |
5.1 | Menampilkan konfigurasi. | acms:R | acs:acms:$regionid:$accountid:cfg/$namespace/$groupId/$configId |
5.2 | Mengelola konfigurasi. | acms:* | acs:acms:$regionid:$accountid:cfg/$namespace/$groupId/$configId |
Tabel 6. Manajemen Sistem
Kode | Deskripsi | Aksi dependensi | Sumber daya |
6.1 | Mengelola sistem EDAS. | edas:ManageSystem | acs:edas:$regionid:$accountid:* |
6.2 | Menampilkan log operasi. | edas:ReadOperationLog | acs:edas:$regionid:$accountid:* |
6.3 | Melakukan operasi pemeliharaan sistem. | edas:ManageOperation | acs:edas:$regionid:$accountid:* |
6.4 | Membeli instance Elastic Compute Service (ECS). | edas:ECSPurchase | acs:edas:*:*:* |
6.5 | Membeli instance Server Load Balancer (SLB). | edas:SLBPurchase | acs:edas:*:*:* |
6.6 | Membeli proyek Simple Log Service. | edas:SLSPurchase | acs:edas:*:*:* |
Tabel 7. Manajemen Fitur EDAS yang Tersedia untuk Penggunaan Komersial
Kode | Deskripsi | Aksi dependensi | Sumber daya |
7 | Mengelola fitur EDAS yang tersedia untuk penggunaan komersial. | edas:ManageCommercialization | acs:edas:$regionid:$accountid:* |
Manajemen kluster
Skenario berikut menggambarkan izin yang diperlukan untuk mengelola kluster:
Membuat kluster
Untuk memberikan izin kepada pengguna RAM yang diperlukan untuk membuat kluster, pastikan bahwa cluster/ dalam nilai parameter Resource diikuti oleh tanda bintang (*).
{
"Version": "1",
"Statement": [
{
"Action": ["edas:CreateCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"],
"Effect": "Allow"
}
]
}Menampilkan detail kluster
Membutuhkan izin baca-saja pada kluster, seperti izin yang diperlukan untuk melihat detail tentang kluster, termasuk instance dan aplikasi dalam kluster.
Anda dapat memberikan izin kepada pengguna RAM pada grup sumber daya sehingga pengguna RAM dapat melihat detail kluster dalam grup sumber daya tersebut.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}Mengelola kluster
Memungkinkan pengguna RAM untuk membuat kluster, menambahkan instance ke kluster, memodifikasi kluster, dan menghapus kluster.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}Contoh berikut menunjukkan cara memberikan izin manajemen kluster kepada pengguna RAM:
Example 1: Berikan izin manajemen kluster kepada pengguna RAM tetapi larang pengguna RAM membuat kluster.
{ "Version": "1", "Statement": [ { "Action": ["edas:ManageCluster"], "Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"], "Effect": "Allow" }, { "Action": ["edas:CreateCluster"], "Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"], "Effect": "Deny" } ] }CatatanJika variabel
$clusterIddiatur ke ID kluster tertentu, pengguna RAM hanya dapat mengelola kluster yang ditentukan. Jika variabel $clusterId diatur ke tanda bintang (*), pengguna RAM dapat mengelola semua kluster dalam namespace mikroservis yang ditentukan.Example 2: Berikan izin manajemen kluster kepada pengguna RAM tetapi larang pengguna RAM membuat atau menghapus kluster.
{ "Version": "1", "Statement": [ { "Action": ["edas:ManageCluster"], "Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"], "Effect": "Allow" }, { "Action": ["edas:CreateCluster","edas:DeleteCluster"], "Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"], "Effect": "Deny" } ] }
Menghapus kluster
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadCluster","edas:DeleteCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}Manajemen namespace mikroservis
Skenario berikut menggambarkan izin yang diperlukan untuk mengelola namespace mikroservis:
Membuat namespace mikroservis
Untuk memberikan izin kepada pengguna RAM yang diperlukan untuk membuat namespace mikroservis, pastikan bahwa namespace/ dalam nilai parameter Resource diikuti oleh tanda bintang (*).
{
"Version": "1",
"Statement": [
{
"Action": ["edas:CreateNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/*"],
"Effect": "Allow"
}
]
}Menampilkan namespace mikroservis
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}Mengelola namespace mikroservis
Untuk mengizinkan pengguna RAM memodifikasi atau mengganti nama namespace mikroservis, Anda harus memberikan izin kepada pengguna RAM untuk mengelola namespace mikroservis tersebut.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}Menghapus namespace mikroservis
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadNamespace","edas:DeleteNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}Pembelian sumber daya
Untuk meningkatkan kemampuan manajemen izin bagi pengguna perusahaan, EDAS memungkinkan pengguna perusahaan memberikan izin untuk membeli sumber daya. Sumber daya meliputi ECS, SLB, dan Log Service.
Skenario berikut menggambarkan izin yang diperlukan untuk membeli sumber daya:
Dalam semua kebijakan pembelian sumber daya, nilai parameter
Resourceharusacs:edas:*:*:*. Konfigurasi yang lebih rinci tidak didukung.Kebijakan pembelian sumber daya hanya berlaku untuk pengguna RAM.
Membeli sumber daya ECS
Ruang Lingkup Aplikasi:
Beli sumber daya ECS dalam kluster ECS.
Beli sumber daya ECS saat membuat aplikasi dalam kluster ECS.
Beli sumber daya ECS saat melakukan penskalaan keluar aplikasi dalam kluster ECS.
Kebijakan Contoh:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "edas:ECSPurchase" ], "Resource": [ "acs:edas:*:*:*" ] } ] }
Membeli sumber daya SLB
Ruang Lingkup Aplikasi: Beli sumber daya SLB saat mengikat instance SLB ke aplikasi.
Kebijakan Contoh:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "edas:SLBPurchase" ], "Resource": [ "acs:edas:*:*:*" ] } ] }
Membeli sumber daya Simple Log Service
Ruang Lingkup Aplikasi: Beli sumber daya Log Service untuk aplikasi.
Kebijakan Contoh:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "edas:SLSPurchase" ], "Resource": [ "acs:edas:*:*:*" ] } ] }
Manajemen aplikasi
Skenario berikut menggambarkan izin yang diperlukan untuk mengelola aplikasi:
Izin pada aplikasi individu
Manage an application: Memungkinkan pengguna RAM untuk melihat informasi tentang aplikasi dan mengelola konfigurasi serta log aplikasi, tetapi tidak mengizinkan pengguna RAM untuk membuat atau menghapus aplikasi.
{ "Statement": [ { "Action": [ "edas:*Application" ], "Effect": "Allow", "Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"] }, { "Action": [ "edas:DeleteApplication" ], "Resource":["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"], "Effect": "Deny" }, { "Action": [ "edas:CreateApplication" ], "Resource":["acs:edas:$regionid:*:namespace/$namespace/application/*"], "Effect": "Deny" } ], "Version": "1" }Create an application
PentingUntuk membuat aplikasi, pengguna memerlukan instance dalam kluster. Oleh karena itu, Anda harus memberikan izin kepada pengguna RAM untuk melihat kluster.
{ "Statement": [ { "Action": [ "edas:CreateApplication", "edas:ReadCluster" ], "Effect": "Allow", "Resource": [ "acs:edas:$regionid:*:namespace/$namespace/application/*", "acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId" ] } ], "Version": "1" }Delete an application
PentingUntuk mengizinkan pengguna RAM menghapus aplikasi, Anda harus memberikan izin kepada pengguna RAM untuk melihat aplikasi. Jika tidak, pengguna RAM tidak dapat menemukan aplikasi tersebut.
{ "Statement": [ { "Action": [ "edas:DeleteApplication", "edas:ReadApplication" ], "Effect": "Allow", "Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"] } ], "Version": "1" }Manage logs
PentingUntuk mengizinkan pengguna RAM mengelola log aplikasi, Anda harus memberikan izin kepada pengguna RAM untuk melihat aplikasi. Jika tidak, pengguna RAM tidak dapat menemukan aplikasi tersebut.
{ "Statement": [ { "Action": [ "edas:ReadApplication", "edas:ManageAppLog" ], "Effect": "Allow", "Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"] } ], "Version": "1" }Configure an application: Memungkinkan pengguna RAM untuk mengatur port aplikasi, konteks Tomcat, parameter load balancing, parameter pemeriksaan kesehatan, parameter Java Virtual Machine (JVM), dan fitur Intra-zone Provider First.
PentingUntuk mengizinkan pengguna RAM mengonfigurasi aplikasi, Anda harus memberikan izin kepada pengguna RAM untuk melihat aplikasi.
{ "Statement": [ { "Action": [ "edas:ReadApplication", "edas:ConfigApplication" ], "Effect": "Allow", "Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"] }, ], "Version": "1" }
Izin pada beberapa aplikasi
Query applications: Memungkinkan pengguna RAM untuk mengkueri aplikasi di wilayah tertentu.
CatatanWilayah mungkin berisi satu atau lebih namespace mikroservis. Izin ini memungkinkan pengguna RAM untuk mengkueri aplikasi di semua namespace mikroservis dalam wilayah tertentu.
{ "Statement": [ { "Action": [ "edas:ReadApplication" ], "Effect": "Allow", "Resource": ["acs:edas:$regionid:*:namespace/*/application/*"] } ], "Version": "1" }View applications: Memungkinkan pengguna RAM untuk melihat aplikasi dalam namespace mikroservis tertentu.
{ "Statement": [ { "Action": [ "edas:*Application", "edas:ReadCluster" ], "Effect": "Allow", "Resource": [ "acs:edas:$regionid:*:namespace/$namespace/application/*", "acs:edas:$regionid:*:namespace/$namespace/cluster/*" ] } ], "Version": "1" }
Manajemen mikroservis
Skenario berikut menggambarkan izin yang diperlukan untuk mengelola mikroservis:
Menampilkan mikroservis
Untuk memberikan izin kepada pengguna RAM yang diperlukan untuk melihat semua mikroservis, atur variabel $applicationId dalam kebijakan berikut ke tanda bintang (*).
{
"Statement": [
{
"Action": [
"edas:ReadService"
],
"Effect": "Allow",
"Resource": [
"acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"
]
}
],
"Version": "1"
}Menguji mikroservis
Untuk memberikan izin kepada pengguna RAM yang diperlukan untuk menguji semua mikroservis lintas namespace mikroservis, atur variabel $namespace dan $applicationId dalam kebijakan berikut ke tanda bintang (*).
{
"Statement": [
{
"Action": [
"edas:TestService"
],
"Effect": "Allow",
"Resource": [
"acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"
]
}
],
"Version": "1"
}Mengelola mikroservis
Untuk memberikan izin kepada pengguna RAM yang diperlukan untuk mengelola semua mikroservis, atur variabel $applicationId dalam kebijakan berikut ke tanda bintang (*).
{
"Statement": [
{
"Action": [
"edas:ManageService"
],
"Effect": "Allow",
"Resource": [
"acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"
]
}
],
"Version": "1"
}Menghapus instance outlier
Penghapusan instance outlier memengaruhi aplikasi dalam namespace mikroservis. Anda dapat memberikan izin kepada pengguna RAM untuk menghapus instanceoutlier hanya dalam namespace mikroservis tertentu.
{
"Statement": [
{
"Action": [
"edas:ManageService"
],
"Effect": "Allow",
"Resource": [
"acs:edas:$regionid:*:namespace/$namespace"
]
}
],
"Version": "1"
}Manajemen sistem
Termasuk izin untuk mengelola pengguna RAM, melihat penggunaan sumber daya, dan melihat log operasi.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageSystem"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}Kebijakan sistem tidak ditentukan oleh sumber daya tertentu. Atur variabel Resource dalam kebijakan ini ke acs:edas:*:*:*.
Melakukan operasi pemeliharaan sistem
Memungkinkan pengguna RAM untuk melihat log operasi, melakukan satu atau lebih tugas pemeliharaan sekaligus, dan mengelola grup sumber daya.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageOperation"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}Menampilkan log operasi
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadOperationLog"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}