Aplikasi yang dikelola di Enterprise Distributed Application Service (EDAS) dapat mencakup beberapa layanan atau subsistem, yang mungkin dikembangkan dan dipelihara oleh tim atau anggota berbeda. EDAS menyediakan sistem manajemen izin tingkat perusahaan untuk mengisolasi aplikasi, sumber daya, dan data, serta menerapkan kontrol akses demi memastikan keamanan aplikasi Anda.
Izin yang ditentukan EDAS dan kebijakan RAM
EDAS dilengkapi dengan sistem manajemen izin dan terintegrasi dengan Resource Access Management (RAM).
Untuk informasi lebih lanjut tentang penggunaan RAM dalam mengelola izin, lihat Ikhtisar.
Untuk detail lebih lanjut tentang izin yang ditentukan EDAS, lihat Kelola Izin yang Ditentukan EDAS (Tidak Direkomendasikan).
Untuk mengelola izin pada layanan Alibaba Cloud termasuk EDAS dalam satu sistem, kami merekomendasikan penggunaan RAM. EDAS juga memungkinkan Anda mengganti izin yang ditentukan EDAS dengan kebijakan RAM. Untuk informasi lebih lanjut, lihat Ganti Izin yang Ditentukan EDAS dengan Kebijakan RAM.
Untuk mengelola izin yang ditentukan EDAS yang diberikan kepada sub-akun, masuk ke konsol EDAS dan tentukan sumber daya yang diizinkan atau tidak diizinkan diakses oleh sub-akun. Setelah mengganti izin yang ditentukan EDAS dengan kebijakan RAM, Anda tidak dapat lagi memberikan izin tersebut kepada sub-akun. Sub-akun akan beralih menjadi pengguna RAM, dan Anda harus memberikan izin pengguna RAM pada EDAS melalui konsol RAM.
EDAS mendukung baik izin yang ditentukan EDAS maupun kebijakan RAM. Sub-akun dan pengguna RAM dikelola menggunakan aturan berikut:
Akses pengguna RAM dikontrol oleh kebijakan RAM, bukan izin yang ditentukan EDAS.
Untuk sub-akun:
Akses sub-akun yang diberi izin AliyunEDASFullAccess dikontrol oleh kebijakan RAM, bukan izin yang ditentukan EDAS.
Kami merekomendasikan agar Anda beralih dari sub-akun yang diatur oleh izin yang ditentukan EDAS ke pengguna RAM. Untuk informasi lebih lanjut, lihat Ganti Izin yang Ditentukan EDAS dengan Kebijakan RAM. Jika Anda tidak beralih sub-akun ke pengguna RAM, Anda dapat terus menggunakan izin yang ditentukan EDAS untuk mengontrol akses sub-akun.
Manfaat RAM
RAM adalah layanan kontrol akses sumber daya yang disediakan oleh Alibaba Cloud. Anda dapat menggunakan kebijakan untuk mengontrol akses pengguna RAM, seperti karyawan, sistem, atau aplikasi, dan memberikan izin tertentu pada sumber daya kepada pengguna RAM. Sebagai contoh, Anda dapat memberikan izin hanya-baca pada aplikasi EDAS kepada pengguna RAM.
Kontrol akses yang lebih halus
Izin yang ditentukan EDAS | Kebijakan RAM |
|
|
Setelah akun Alibaba Cloud memberikan sub-akun izin pada suatu sumber daya, operasi pada sumber daya tersebut dikontrol oleh semua izin. Sebagai contoh, jika Anda memberikan sub-akun izin pada APP1 dan APP2, serta izin untuk menerapkan dan menghentikan aplikasi, sub-akun tersebut dapat menerapkan dan menghentikan APP1 dan APP2. Izin yang ditentukan EDAS lebih kasar daripada kebijakan RAM. | Kebijakan RAM lebih halus daripada izin yang ditentukan EDAS. Setiap izin mendefinisikan sumber daya tertentu. Sebagai contoh, Anda dapat memberikan pengguna RAM izin untuk menerapkan dan menghentikan aplikasi. Anda dapat menentukan sumber daya yang diizinkan untuk diterapkan oleh pengguna RAM sebagai APP1 dan APP2, dan sumber daya yang diizinkan untuk dihentikan sebagai APP2 dan APP3. Dalam hal ini, pengguna RAM hanya dapat menerapkan APP1 dan APP2, tetapi tidak dapat menerapkan APP3. Pengguna RAM hanya dapat menghentikan APP2 dan APP3, tetapi tidak dapat menghentikan APP1. |
Jenis sintaksis yang lebih banyak
Kebijakan RAM mendukung lebih banyak jenis sintaksis dibandingkan izin yang ditentukan EDAS. Sebagai contoh, Anda dapat menggunakan karakter wildcard dalam pernyataan izin, serta melampirkan beberapa kebijakan ke pengguna RAM untuk secara tepat mengatur kontrol akses.
Contoh berikut menunjukkan sintaksis kebijakan RAM:
{
"Statement": [
{
"Action": [
"edas:ReadApplication"
],
"Effect": "Allow",
"Resource": ["acs:edas:*:*:namespace/*/application/*"]
},
{
"Action": [
"edas:ReadApplication"
],
"Effect": "Deny",
"Resource": ["acs:edas:cn-beijing:*:namespace/*/application/12345678"]
}
],
"Version": "1"
}Kebijakan di atas mencakup dua pernyataan:
Dalam pernyataan pertama, efek diatur ke Mengizinkan, tindakan diatur ke edas:ReadApplication, yang mengizinkan pengguna RAM untuk melihat aplikasi, dan sumber daya diatur ke karakter wildcard (*), yang mencakup semua aplikasi. Pernyataan ini menentukan bahwa pengguna RAM diizinkan untuk melihat semua aplikasi EDAS.
Dalam pernyataan kedua, efek diatur ke Tolak, dan sumber daya diatur ke 12345678, yang mencakup aplikasi dengan ID 12345678. Pernyataan ini menentukan bahwa pengguna RAM tidak diizinkan untuk melihat aplikasi dengan ID 12345678.
Oleh karena itu, kebijakan yang mencakup pernyataan di atas menentukan bahwa pengguna RAM diizinkan untuk melihat semua aplikasi kecuali aplikasi dengan ID 12345678.
Anda juga dapat menggunakan ekspresi kondisional untuk mendefinisikan kebijakan. Untuk informasi lebih lanjut, lihat Ikhtisar Kebijakan.
Hubungan antara izin yang ditentukan EDAS dan kebijakan RAM
Izin yang ditentukan EDAS tidak setara dengan kebijakan RAM. Oleh karena itu, Anda tidak dapat langsung mengubah izin yang ditentukan EDAS menjadi kebijakan RAM. EDAS memungkinkan Anda mengganti izin yang ditentukan EDAS dengan kebijakan RAM, yang dapat mewarisi izin yang ditentukan EDAS dalam sebagian besar kasus. Secara default, izin yang menentukan apakah sub-akun dapat melakukan operasi tertentu pada sumber daya EDAS seperti aplikasi dan kluster diwarisi oleh pengguna RAM ke mana sub-akun tersebut beralih.
Tabel 1. Bagaimana Izin yang Ditentukan EDAS dan Kebijakan RAM Didefinisikan
Izin yang ditentukan EDAS | Kebijakan RAM | Sumber daya yang didefinisikan dalam kebijakan RAM |
Super Admin (izin penuh) | edas:* | acs:edas:*:*:* |
Akun Alibaba Cloud yang bertindak | edas:ManageSystem | acs:edas:*:*:* |
Pengelolaan sistem - Lihat log operasi | edas:ReadOperationLog | acs:edas:*:*:* |
Pengelolaan aplikasi - Ubah namespace mikro-layanan | edas:ManageNamespace | acs:edas:*:*:namespace/${namespaceId} |
Pengelolaan aplikasi - Kueri namespace mikro-layanan | edas:ReadNamespace | acs:edas:*:*:namespace/${namespaceId} |
Pengelolaan sumber daya - Buat kluster | edas:CreateCluster | acs:edas:*:*:namespace/* |
Pengelolaan sumber daya - Lihat kluster | edas:ReadCluster | acs:edas:*:*:namespace/*/cluster/${clusterId} |
Pengelolaan sumber daya - Kelola dan hapus kluster | edas:ReadCluster edas:ManageCluster | acs:edas:*:*:namespace/*/cluster/${clusterId} |
Pengelolaan aplikasi - Buat aplikasi | edas:CreateApplication | acs:edas:*:*:namespace/* |
Pengelolaan aplikasi - Terapkan, mulai, perluas, dan hapus aplikasi | edas:ManageApplication edas:ReadApplication | acs:edas:*:*:namespace/*/application/${applicationId} |
Pengelolaan aplikasi - Lihat informasi aplikasi | edas:ReadApplication | acs:edas:*:*:namespace/*/application/${applicationId} |
Pengelolaan aplikasi - Konfigurasi kontainer dan atur parameter Java virtual machine (JVM) untuk aplikasi | edas:ConfigApplication edas:ReadApplication | acs:edas:*:*:namespace/*/application/${applicationId} |
Pengelolaan aplikasi - Atur direktori log | edas:ManageAppLog edas:ReadApplication | acs:edas:*:*:namespace/*/application/${applicationId} |
Beli sumber daya Elastic Compute Service (ECS) | edas:ECSPurchase | acs:edas:*:*:* |
Beli sumber daya Server Load Balancer (SLB) | edas:SLBPurchase | acs:edas:*:*:* |
Beli sumber daya Log Service | edas:SLSPurchase | acs:edas:*:*:* |