Kebijakan Resource Access Management (RAM) mengontrol aksi yang dapat dilakukan oleh Pengguna RAM pada resource Enterprise Distributed Application Service (EDAS). Setiap kebijakan memetakan suatu aksi ke Nama Sumber Daya Alibaba Cloud (ARN) dengan efek Allow atau Deny.
Topik ini mencantumkan semua aksi EDAS, format ARN resource, serta contoh kebijakan JSON untuk skenario izin umum.
Format ARN resource
Setiap resource EDAS diidentifikasi oleh ARN:
acs:edas:<region-id>:<account-id>:<resource-path>Tabel berikut mencantumkan semua tipe resource EDAS beserta pola ARN-nya.
| Tipe resource | Pola ARN |
|---|---|
| Microservices namespace | acs:edas:$regionid:$accountid:namespace/$namespace |
| Kluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
| Aplikasi | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| Konfigurasi | acs:acms:$regionid:$accountid:cfg/$namespace/$groupId/$configId |
| Sistem (global) | acs:edas:$regionid:$accountid:* |
Variabel resource
| Variabel | Deskripsi | Cara Menemukannya |
|---|---|---|
$regionid | Wilayah tempat resource dideploy, seperti cn-shanghai. Untuk informasi selengkapnya, lihat Wilayah dan zona. | N/A |
$namespace | ID microservices namespace. | Di Konsol EDAS, buka Resource Management > Microservice Namespaces. ID tersebut ditampilkan di halaman Microservices Namespace.  |
$clusterId | ID kluster, seperti 8c349f69-505c-436f-8dc7-**********. | Di Konsol EDAS, buka Resource Management > ECS Clusters. Klik ID kluster pada kolom Cluster ID/Name untuk membuka halaman Cluster Details.  |
$applicationId | ID aplikasi, seperti ec8e38a3-3dca-47a7-b6f9-5**********. | Di EDAS console, buka Application Management > Applications. Klik nama aplikasi, lalu temukan ID-nya pada tab Basic Information.  |
Wildcard
Gunakan tanda bintang (*) sebagai pengganti ID tertentu untuk mencocokkan semua resource dari tipe tersebut:
namespace/*— semua microservices namespace dalam suatu wilayahnamespace/$namespace/cluster/*— semua kluster dalam suatu namespacenamespace/*/application/*— semua aplikasi di seluruh namespace dalam suatu wilayah
Referensi aksi
Tabel-tabel berikut mencantumkan aksi untuk setiap kategori resource, aksi dependennya, serta ARN resource target.
Manajemen microservices namespace
| Kode | Operasi | Aksi | Aksi dependen | Resource |
|---|---|---|---|---|
| 1.1 | Buat namespace | edas:CreateNamespace | -- | acs:edas:$regionid:$accountid:namespace/* |
| 1.2 | Hapus namespace | edas:DeleteNamespace | edas:ReadNamespace | acs:edas:$regionid:$accountid:namespace/$namespace |
| 1.4 | Ubah namespace | edas:ManageNamespace | edas:ReadNamespace | acs:edas:$regionid:$accountid:namespace/$namespace |
| 1.5 | Lihat detail namespace | edas:ReadNamespace | -- | acs:edas:$regionid:$accountid:namespace/$namespace |
Manajemen kluster
| Kode | Operasi | Tindakan | Aksi Terkait | Resource |
|---|---|---|---|---|
| 2.1 | Buat kluster | edas:CreateCluster | -- | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/* |
| 2.2 | Hapus kluster | edas:DeleteCluster | edas:ReadCluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
| 2.3 | Lihat detail kluster | edas:ReadCluster | -- | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
| 2.4 | Kelola kluster | edas:ManageCluster | edas:ReadCluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
Manajemen aplikasi
| Kode | Operasi | Aksi | Aksi dependen | Resource |
|---|---|---|---|---|
| 3.1 | Buat aplikasi | edas:CreateApplication | -- | acs:edas:$regionid:$accountid:namespace/$namespace/application/* |
| 3.2 | Hapus aplikasi | edas:DeleteApplication | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 3.3 | Lihat detail aplikasi | edas:ReadApplication | -- | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 3.4 | Kelola aplikasi | edas:ManageApplication | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 3.5 | Konfigurasi aplikasi (Port, konteks Tomcat, load balancing, pemeriksaan kesehatan, JVM, Intra-zone Provider First) | edas:ConfigApplication | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 3.6 | Kelola log aplikasi | edas:ManageAppLog | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
Manajemen mikroservis
| Kode | Operasi | Aksi | Aksi dependen | Resource |
|---|---|---|---|---|
| 4.1 | Lihat mikroservis | edas:ReadService | -- | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 4.2 | Uji mikroservis | edas:TestService | -- | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 4.3 | Kelola mikroservis | edas:ManageService | edas:ReadService | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
Manajemen konfigurasi
| Kode | Operasi | Aksi | Dependent Actions | Resource |
|---|---|---|---|---|
| 5.1 | Lihat konfigurasi | acms:R | -- | acs:acms:$regionid:$accountid:cfg/$namespace/$groupId/$configId |
| 5.2 | Kelola konfigurasi | acms:* | -- | acs:acms:$regionid:$accountid:cfg/$namespace/$groupId/$configId |
Manajemen sistem
| Kode | Operasi | Aksi | Dependent Actions | Resource |
|---|---|---|---|---|
| 6.1 | Kelola sistem EDAS | edas:ManageSystem | -- | acs:edas:$regionid:$accountid:* |
| 6.2 | Lihat log operasi | edas:ReadOperationLog | -- | acs:edas:$regionid:$accountid:* |
| 6.3 | Lakukan operasi O&M sistem | edas:ManageOperation | -- | acs:edas:$regionid:$accountid:* |
| 6.4 | Beli Instance ECS | edas:ECSPurchase | -- | acs:edas:*:*:* |
| 6.5 | Beli Instance SLB | edas:SLBPurchase | -- | acs:edas:*:*:* |
| 6.6 | Beli proyek Simple Log Service | edas:SLSPurchase | -- | acs:edas:*:*:* |
Manajemen fitur komersial
| Kode | Operasi | Aksi | Aksi Dependen | Resource |
|---|---|---|---|---|
| 7 | Kelola fitur EDAS yang tersedia secara komersial | edas:ManageCommercialization | -- | acs:edas:$regionid:$accountid:* |
Contoh kebijakan
Semua kebijakan menggunakan "Version": "1". Ganti variabel ($regionid, $namespace, $clusterId, $applicationId) dengan nilai aktual. Tetapkan variabel ke * untuk mencocokkan semua resource dari tipe tersebut.
Kebijakan aplikasi
Aplikasi tunggal
Kelola aplikasi (tanpa izin membuat atau menghapus)
Mengizinkan melihat, mengonfigurasi, dan mengelola log untuk aplikasi tertentu, sekaligus secara eksplisit menolak pembuatan dan penghapusan.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:*Application"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
},
{
"Action": ["edas:DeleteApplication"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"],
"Effect": "Deny"
},
{
"Action": ["edas:CreateApplication"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/*"],
"Effect": "Deny"
}
]
}Create an application
Membuat aplikasi memerlukan instans kluster. Sertakan ReadCluster bersama CreateApplication.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:CreateApplication", "edas:ReadCluster"],
"Effect": "Allow",
"Resource": [
"acs:edas:$regionid:*:namespace/$namespace/application/*",
"acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"
]
}
]
}Delete an application
Sertakan ReadApplication agar Pengguna RAM dapat menemukan aplikasi sebelum menghapusnya.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:DeleteApplication", "edas:ReadApplication"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}Manage application logs
Sertakan ReadApplication agar Pengguna RAM dapat menemukan aplikasi.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadApplication", "edas:ManageAppLog"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}Konfigurasi aplikasi
Mencakup port aplikasi, konteks Tomcat, load balancing, pemeriksaan kesehatan, parameter JVM, dan Intra-zone Provider First.
Sertakan ReadApplication agar Pengguna RAM dapat mengakses pengaturan aplikasi.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadApplication", "edas:ConfigApplication"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}Beberapa aplikasi
Kueri aplikasi di seluruh namespace dalam suatu wilayah
Satu wilayah dapat berisi beberapa microservices namespace. Kebijakan ini memberikan akses baca ke aplikasi di semua namespace dalam wilayah yang ditentukan.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadApplication"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/*/application/*"]
}
]
}Kelola semua aplikasi dalam suatu namespace
Memberikan izin aplikasi penuh dan akses baca kluster dalam namespace tertentu.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:*Application", "edas:ReadCluster"],
"Effect": "Allow",
"Resource": [
"acs:edas:$regionid:*:namespace/$namespace/application/*",
"acs:edas:$regionid:*:namespace/$namespace/cluster/*"
]
}
]
}Kebijakan kluster
Buat kluster
Nilai Resource harus diakhiri dengan cluster/* untuk mengizinkan pembuatan kluster.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:CreateCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"],
"Effect": "Allow"
}
]
}Lihat detail kluster
Akses hanya-baca ke kluster, termasuk instans dan aplikasinya.
Tetapkan izin pada kelompok sumber daya agar Pengguna RAM dapat melihat semua kluster dalam kelompok tersebut.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}Manajemen kluster penuh
Mengizinkan membuat, menambahkan instans ke, mengubah, dan menghapus kluster.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}Untuk membatasi operasi tertentu, tambahkan pernyataan Deny eksplisit:
Izinkan manajemen tetapi tolak pembuatan:
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
},
{
"Action": ["edas:CreateCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"],
"Effect": "Deny"
}
]
}Izinkan manajemen tetapi tolak pembuatan dan penghapusan:
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
},
{
"Action": ["edas:CreateCluster", "edas:DeleteCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"],
"Effect": "Deny"
}
]
}Tetapkan $clusterId ke ID kluster tertentu untuk membatasi manajemen hanya pada kluster tersebut. Tetapkan ke * untuk mengizinkan manajemen semua kluster dalam namespace.
Hapus kluster
Memerlukan ReadCluster (untuk menemukan kluster) dan DeleteCluster.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadCluster", "edas:DeleteCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}Kebijakan microservices namespace
Buat microservices namespace
Nilai Resource harus diakhiri dengan namespace/* untuk mengizinkan pembuatan namespace.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:CreateNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/*"],
"Effect": "Allow"
}
]
}Lihat microservices namespace
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}Kelola microservices namespace
Mengizinkan mengubah atau mengganti nama microservices namespace.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}Hapus microservices namespace
Memerlukan ReadNamespace (untuk menemukan namespace) dan DeleteNamespace.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadNamespace", "edas:DeleteNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}Kebijakan mikroservis
Lihat mikroservis
Tetapkan $applicationId ke * untuk memberikan akses ke semua mikroservis dalam namespace.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadService"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}Uji mikroservis
Tetapkan $namespace dan $applicationId ke * untuk mengizinkan pengujian di seluruh namespace.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:TestService"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}Kelola mikroservis
Tetapkan $applicationId ke * untuk memberikan akses manajemen ke semua mikroservis dalam namespace.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageService"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}Hapus instans outlier
Menghapus instans outlier memengaruhi semua aplikasi dalam microservices namespace. Izin ini hanya dapat diterapkan pada tingkat namespace.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageService"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"]
}
]
}Kebijakan pembelian resource
Nilai
Resourceuntuk semua kebijakan pembelian harus berupaacs:edas:*:*:*. Penerapan cakupan resource yang lebih rinci tidak didukung.Kebijakan pembelian hanya berlaku untuk Pengguna RAM.
Beli Instance ECS
Berlaku saat membeli Instance ECS dalam kluster, membuat aplikasi di kluster ECS, atau melakukan scale out aplikasi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["edas:ECSPurchase"],
"Resource": ["acs:edas:*:*:*"]
}
]
}Beli Instance SLB
Berlaku saat mengikat Instance SLB ke aplikasi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["edas:SLBPurchase"],
"Resource": ["acs:edas:*:*:*"]
}
]
}Beli resource Simple Log Service
Berlaku saat menyediakan resource Layanan Log untuk aplikasi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["edas:SLSPurchase"],
"Resource": ["acs:edas:*:*:*"]
}
]
}Kebijakan sistem
Kebijakan sistem tidak diterapkan pada resource tertentu. Tetapkan nilai Resource ke acs:edas:*:*:*.
Manajemen sistem penuh
Memberikan izin untuk mengelola Pengguna RAM, melihat penggunaan sumber daya, dan melihat log operasi.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageSystem"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}O&M sistem
Memberikan izin untuk melihat log operasi, melakukan satu atau beberapa tugas O&M sekaligus, serta mengelola kelompok sumber daya.
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageOperation"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}Lihat log operasi
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadOperationLog"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}