Menulis JSON kebijakan RAM secara manual rentan terhadap kesalahan dan memakan waktu. Asisten izin EDAS menghasilkan JSON kebijakan Resource Access Management (RAM) melalui antarmuka visual. Pilih namespace, kluster, dan aplikasi yang ingin dikontrol, tentukan Allow atau Deny, lalu asisten akan menyusun kebijakan lengkapnya. Setelah itu, salin JSON yang dihasilkan ke Konsol RAM untuk membuat kebijakan RAM.
EDAS menyediakan delapan kebijakan izin sistem yang mencakup peran umum. Gunakan kebijakan sistem bila memungkinkan, dan buat kebijakan kustom hanya jika Anda memerlukan izin yang tidak tersedia dalam kebijakan sistem mana pun.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
-
Akun Alibaba Cloud atau pengguna RAM dengan akses ke Konsol EDAS
-
Akses ke Konsol RAM untuk membuat dan menyambungkan kebijakan
Kebijakan izin sistem
EDAS menyediakan delapan kebijakan sistem. Tabel berikut merangkum resource yang dikontrol oleh masing-masing kebijakan serta tingkat akses yang diberikan.
| Kebijakan | Namespaces | Kluster | Aplikasi | Layanan mikro | Manajemen konfigurasi | Sistem |
|---|---|---|---|---|---|---|
| Super Admin | Full | Full | Full | Full | Full | Full |
| App Admin | -- | Full | Full | Full | -- | -- |
| App Operator | -- | -- | Full (no create or delete) | Full | -- | Manage |
| App Browser | -- | -- | Read | Read | -- | -- |
| Resource Admin | Full | Full | -- | -- | -- | -- |
| Resource Operator | Full (no create) | Full (no create) | -- | -- | -- | -- |
| Resource Browser | Read | Read | -- | -- | -- | -- |
| Edas Browser | Read | Read | Read | Read | Read | Read logs |
Pilih kebijakan sistem
-
Super Admin: Setara dengan Akun Alibaba Cloud. Cadangkan untuk skenario darurat dan gunakan kontrol akses detail halus sebagai gantinya.
-
App Admin atau App Operator: Tetapkan kepada tim yang melakukan deployment dan mengelola aplikasi. Gunakan App Operator untuk mencegah pembuatan atau penghapusan aplikasi secara tidak sengaja.
-
App Browser: Tetapkan kepada pemangku kepentingan yang membutuhkan visibilitas terhadap status aplikasi tanpa melakukan perubahan.
-
Resource Admin atau Resource Operator: Tetapkan kepada tim infrastruktur yang mengelola namespace dan kluster. Gunakan Resource Operator untuk mencegah pembuatan namespace atau kluster secara tidak sengaja.
-
Resource Browser: Tetapkan kepada pengguna yang hanya perlu melihat resource infrastruktur.
-
Edas Browser: Tetapkan untuk akses read-only penuh di seluruh EDAS, termasuk log operasi.
Lihat dan copy kebijakan sistem
-
Log on ke Konsol EDAS.
-
Pada halaman Permission Assistant, lihat kebijakan izin sistem yang tersedia.
Kebijakan dengan System Strategy pada kolom Policy Type merupakan kebijakan izin sistem. Setiap kebijakan sistem mendukung tindakan berikut:
-
Klik duplicate untuk membuka panel New permission Strategy dan membuat salinan yang dimodifikasi.
-
Klik view detail untuk membuka kotak dialog view detail, lalu klik copy untuk menyalin JSON kebijakan tersebut. Log on ke Konsol RAM, buat kebijakan RAM dengan konten yang disalin, lalu sambungkan ke pengguna RAM. Untuk detailnya, lihat Replace EDAS-defined permissions with RAM policies.
Untuk JSON lengkap setiap kebijakan sistem, lihat Referensi JSON kebijakan sistem.
Buat kebijakan izin kustom
Buat kebijakan kustom ketika tidak ada kebijakan sistem yang mencakup izin persis sesuai kebutuhan Anda. Contoh berikut memberikan izin berikut kepada pengguna RAM di wilayah China (Beijing):
-
Lihat namespace layanan mikro test.
-
Lihat semua kluster di namespace layanan mikro test.
-
Izin penuh pada aplikasi di namespace layanan mikro test, kecuali membuat aplikasi.
-
Log on ke Konsol EDAS.
-
Pada halaman Permission Assistant, klik New permission Strategy.
-
Pada panel New permission Strategy, masukkan Name of strategy dan note pada langkah Create a new custom permission policy.
-
Tentukan efek kebijakan izin kustom dan klik next step.
PentingPenting: Kebijakan kustom hanya mendukung satu jenis efek per pernyataan. Jenis yang tersedia adalah Allow dan Deny. Jika suatu kebijakan berisi pernyataan Allow dan Deny untuk aksi yang sama, Deny akan didahulukan.
-
Tambahkan pernyataan Allow untuk izin view dan aplikasi:
-
Pada langkah Create a new custom permission policy, klik New permission statement. Pada panel Add authorization statement, konfigurasikan pengaturan berikut lalu klik yes.
-
Atur Permissions for menjadi Allow.
-
Pada bagian Operations and resource authorization, pilih di sebelah kiri. Pilih China North 2 (Beijing) dan test dari daftar drop-down di sebelah kanan.
-
Pilih Clusters > View Cluster di sebelah kiri. Pilih China North 2 (Beijing), test, dan All Clusters dari daftar drop-down di sebelah kanan.
-
Pilih Applications di sebelah kiri. Pilih China North 2 (Beijing) dan test dari daftar drop-down di sebelah kanan. Memilih Applications memberikan semua izin aplikasi.
-
-
-
Tambahkan pernyataan Deny untuk memblokir pembuatan aplikasi:
-
Pada langkah Create a new custom permission policy, klik New permission statement. Pada panel Add authorization statement, konfigurasikan pengaturan berikut lalu klik yes.
-
Atur Permissions for menjadi Deny.
-
Pada bagian Operations and resource authorization, pilih di sebelah kiri. Pilih China North 2 (Beijing) dan test dari daftar drop-down di sebelah kanan.
-
-
-
Pada langkah Strategy to preview, konfirmasi kebijakan lalu klik Finish.
Setelah Anda melihat pesan "New policy authorization succeeded", klik Return to list view untuk kembali ke halaman Permission Assistant.
Terapkan kebijakan ke RAM user
Temukan kebijakan kustom di halaman Permission Assistant lalu klik view detail. Di kotak dialog view detail, klik copy untuk menyalin JSON kebijakan tersebut. Log on ke Konsol RAM, buat kebijakan RAM dengan konten yang disalin, lalu sambungkan ke pengguna RAM. Untuk detailnya, lihat Replace EDAS-defined permissions with RAM policies.
Referensi struktur kebijakan RAM
Setiap kebijakan yang dihasilkan oleh asisten izin menggunakan struktur JSON berikut:
| Field | Tipe | Deskripsi |
|---|---|---|
Version |
String | Versi kebijakan. Selalu "1". |
Statement |
Array | Satu atau beberapa pernyataan izin. Setiap pernyataan menentukan efek, sekumpulan aksi, dan resource target. |
Effect |
String | "Allow" atau "Deny". Ketika keduanya ada untuk aksi yang sama, Deny didahulukan. |
Action |
String[] | Aksi API EDAS. Gunakan awalan wildcard (*) untuk mencocokkan semua operasi pada tipe resource tertentu, misalnya edas:*Application mencocokkan edas:CreateApplication, edas:ReadApplication, dan semua aksi aplikasi lainnya. |
Resource |
String[] | Nama Sumber Daya Alibaba Cloud (ARN) yang menjadi sasaran pernyataan tersebut. |
Format ARN resource EDAS
ARN mengikuti pola berikut:
acs:edas:<region>:<account-id>:<resource-path>| Pola ARN | Cakupan |
|---|---|
acs:edas:*:*:namespace/* |
Semua namespace di semua wilayah |
acs:edas:*:*:namespace/*/cluster/* |
Semua kluster di semua namespace |
acs:edas:*:*:namespace/*/application/* |
Semua aplikasi di semua namespace |
acs:edas:*:*:* |
Semua resource EDAS |
Gunakan * pada field wilayah dan ID akun untuk mencocokkan semua wilayah dan akun.
Referensi JSON kebijakan sistem
Super Admin
Izin penuh pada namespace, kluster, aplikasi, layanan mikro, dan manajemen konfigurasi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Namespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Cluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Application"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Service"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ManageSystem",
"edas:ManageOperation",
"edas:ReadOperationLog"
],
"Resource": [
"acs:edas:*:*:*"
]
}
]
}App Admin
Izin penuh pada aplikasi dan layanan mikro, akses penuh ke kluster.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Application"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Service"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadCluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
}
]
}App Operator
Izin penuh pada aplikasi kecuali pembuatan dan penghapusan, izin penuh pada layanan mikro, dan izin edas:ManageOperation. Pernyataan Deny secara eksplisit memblokir edas:CreateApplication.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Application"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Service"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ManageOperation"
],
"Resource": [
"acs:edas:*:*:*"
]
},
{
"Effect": "Deny",
"Action": [
"edas:CreateApplication"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
}
]
}App Browser
Akses read-only ke aplikasi dan layanan mikro.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:ReadApplication"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadService"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
}
]
}Resource Admin
Izin penuh pada namespace dan kluster.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Namespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Cluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
}
]
}Resource Operator
Izin penuh pada namespace dan kluster, kecuali pembuatan. Pernyataan Deny secara eksplisit memblokir edas:CreateNamespace dan edas:CreateCluster.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Namespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Cluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
},
{
"Effect": "Deny",
"Action": [
"edas:CreateNamespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Deny",
"Action": [
"edas:CreateCluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
}
]
}Resource Browser
Akses read-only ke namespace dan kluster.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:ReadNamespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadCluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
}
]
}Edas Browser
Akses read-only ke semua resource EDAS: namespace, kluster, aplikasi, layanan mikro, konfigurasi, dan log operasi.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:ReadNamespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadCluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadApplication"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadService"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadOperationLog"
],
"Resource": [
"acs:edas:*:*:*"
]
}
]
}