全部产品
Search

搜索本产品

    Enterprise Distributed Application Service:Gunakan asisten izin EDAS untuk membuat kebijakan RAM

    文档中心

    Enterprise Distributed Application Service:Gunakan asisten izin EDAS untuk membuat kebijakan RAM

    更新时间:Jul 02, 2025

    Asisten izin adalah fitur yang disediakan oleh Enterprise Distributed Application Service (EDAS) untuk membantu Anda membuat kebijakan terkait EDAS di dalam Resource Access Management (RAM). Anda dapat menggunakan asisten izin EDAS untuk membuat kebijakan RAM berdasarkan kebijakan izin yang telah ditentukan oleh EDAS secara efisien.

    Lihat kebijakan izin sistem

    EDAS menyediakan delapan kebijakan izin sistem untuk peran berbeda di halaman Asisten Izin pada konsol EDAS. Anda dapat memilih kebijakan izin sistem dan menyalin isinya sesuai dengan tujuan dari suatu peran di konsol EDAS. Kemudian, masuk ke konsol RAM, buat kebijakan RAM menggunakan konten yang disalin, dan lampirkan kebijakan tersebut ke pengguna RAM yang sesuai dengan peran tersebut. Untuk informasi lebih lanjut, lihat Ganti Izin yang Ditentukan EDAS dengan Kebijakan RAM.

    1. Masuk ke .

    2. Di panel navigasi sisi kiri, pilih System Management > Permission Assistant.

    3. Di halaman Permission Assistant, lihat kebijakan izin sistem yang disediakan oleh EDAS.

      Di kolom Policy Type, System Strategy menunjukkan bahwa kebijakan izin yang sesuai adalah kebijakan izin sistem yang disediakan oleh EDAS. Anda dapat melakukan operasi berikut pada kebijakan izin sistem berdasarkan kebutuhan:

      • Klik duplicate di sebelah kanan untuk pergi ke panel New permission Strategy. Di panel ini, ubah konfigurasi kebijakan izin sistem untuk membuat kebijakan izin lainnya.

      • Klik view detail di sebelah kanan untuk membuka kotak dialog view detail. Di kotak dialog ini, klik copy untuk menyalin isi kebijakan izin sistem. Masuk ke konsol RAM, buat kebijakan RAM menggunakan konten yang disalin, lalu lampirkan kebijakan RAM tersebut ke pengguna RAM sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Ganti Izin yang Ditentukan EDAS dengan Kebijakan RAM.

    Untuk informasi lebih lanjut tentang delapan kebijakan izin sistem yang disediakan oleh EDAS, lihat Ikhtisar Kebijakan Izin Sistem yang Disediakan oleh EDAS.

    Buat kebijakan izin kustom

    Anda juga dapat menggunakan asisten izin EDAS untuk membuat kebijakan izin kustom. Contoh berikut menunjukkan cara membuat kebijakan izin kustom.

    Sebagai contoh, Anda ingin memberikan izin berikut kepada pengguna RAM:

    • Izin untuk melihat namespace layanan mikro uji di wilayah China (Beijing).

    • Izin untuk melihat semua kluster di namespace layanan mikro uji di wilayah China (Beijing).

    • Seluruh izin kecuali izin pembuatan pada namespace layanan mikro uji.

    1. Masuk ke .

    2. Di panel navigasi sisi kiri, pilih System Management > Permission Assistant.

    3. Di halaman Permission Assistant, klik New permission Strategy.

    4. Di panel New permission Strategy, atur parameter Name of strategy dan note di langkah Create a new custom permission policy.

    5. Tentukan efek dari kebijakan izin kustom dan klik langkah berikutnya.

      Penting

      • Saat membuat kebijakan izin kustom, Anda hanya dapat menentukan satu jenis efek. Jenis efek yang tersedia adalah Mengizinkan dan Menolak.

      • Anda dapat mengonfigurasi beberapa pernyataan izin. Jika kebijakan izin berisi dua pernyataan izin di mana Parameter Izin secara terpisah diatur ke Allow dan Deny, maka pernyataan izin dengan tipe efek Menolak akan berlaku.

      1. Di langkah Create a new custom permission policy, klik New permission statement. Di panel Add authorization statement, konfigurasikan pernyataan untuk izin allowed yang dijelaskan di bagian sebelumnya dan klik yes.

        1. Atur parameter Permissions for menjadi Allow.

        2. Di daftar sisi kiri bagian Operations and resource authorization, pilih Namespace > View Namespace. Lalu, pilih China North 2 (Beijing) dan test dari daftar drop-down di sebelah kanan.

        3. Di daftar sisi kiri bagian Operations and resource authorization, pilih Clusters > View Cluster. Lalu, pilih China North 2 (Beijing), test, dan Semua Kluster dari daftar drop-down di sebelah kanan.

        4. Di daftar sisi kiri bagian Operations and resource authorization, pilih Applications. Lalu, pilih China North 2 (Beijing) dan test dari daftar drop-down di sebelah kanan. Jika Anda memilih Aplikasi, semua izin pada aplikasi dipilih.

      2. Di langkah Create a new custom permission policy, klik New permission statement. Di panel Add authorization statement, konfigurasikan pernyataan untuk izin pembuatan aplikasi yang denied yang dijelaskan di bagian sebelumnya dan klik yes.

        1. Atur parameter Permissions for menjadi Deny.

        2. Di daftar sisi kiri bagian Operations and resource authorization, pilih Applications > Create Application. Lalu, pilih China North 2 (Beijing) dan test dari daftar drop-down di sebelah kanan.

    6. Di langkah Strategy to preview, konfirmasi kebijakan izin dan klik Finish.

      Pesan Pemberian izin kebijakan baru berhasil muncul. Klik Return to list view untuk pergi ke halaman Permission Assistant.

      Temukan kebijakan izin kustom yang dibuat dan klik view detail di sebelah kanan untuk membuka kotak dialog view detail. Di kotak dialog ini, klik copy untuk menyalin isi kebijakan izin kustom. Masuk ke konsol RAM, buat kebijakan RAM menggunakan konten yang disalin, lalu lampirkan kebijakan RAM tersebut ke pengguna RAM sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Ganti Izin yang Ditentukan EDAS dengan Kebijakan RAM.

    Ikhtisar kebijakan izin sistem yang disediakan oleh EDAS

    Super Admin

    Kebijakan izin Super Admin dirancang untuk administrator super. Administrator super memiliki izin penuh pada EDAS dan memiliki ruang lingkup izin yang sama dengan akun Alibaba Cloud Anda. Jangan tetapkan peran administrator super kepada pengguna RAM kecuali diperlukan. Kami merekomendasikan untuk menerapkan kontrol akses yang lebih rinci. Administrator super memiliki izin berikut:

    • Izin penuh pada namespace layanan mikro

    • Izin penuh pada kluster

    • Izin penuh pada aplikasi

    • Izin penuh pada layanan mikro

    • Izin penuh pada manajemen konfigurasi

    Kebijakan RAM berikut memberikan izin yang sama:

    {
    "Version": "1",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
              "edas:ManageSystem",
            "edas:ManageOperation",
            "edas:ReadOperationLog"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      }
    ]
}

    App Admin

    Kebijakan izin App Admin dirancang untuk administrator aplikasi. Administrator aplikasi memiliki izin berikut pada aplikasi:

    • Izin penuh pada aplikasi

    • Izin penuh pada layanan mikro

    • Izin penuh pada kluster

    Kebijakan RAM berikut memberikan izin yang sama:

    {
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

    App Operator

    Kebijakan izin App Operator dirancang untuk insinyur O&M aplikasi. Insinyur O&M aplikasi bertanggung jawab atas manajemen dan pemeliharaan aplikasi. Dibandingkan dengan administrator aplikasi, insinyur O&M aplikasi tidak dapat membuat atau menghapus aplikasi. Insinyur O&M aplikasi hanya diperbolehkan mengelola aplikasi yang sudah ada. Insinyur O&M aplikasi memiliki izin berikut:

    • Izin penuh pada aplikasi kecuali izin untuk membuat aplikasi

    • Izin penuh pada layanan mikro

    • Izin edas:ManageOperation (manajemen sistem)

    Kebijakan RAM berikut memberikan izin yang sama:

    {
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ManageOperation"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      },
        {
        "Effect": "Deny",
        "Action": [
          "edas:CreateApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      }
    ]
}

    App Browser

    Kebijakan izin App Browser dirancang untuk pemirsa aplikasi. Pemirsa aplikasi dapat melihat semua informasi tentang aplikasi. Pemirsa aplikasi memiliki izin berikut:

    • Izin untuk melihat aplikasi

    • Izin untuk melihat layanan mikro

    Kebijakan RAM berikut memberikan izin yang sama:

    {
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadService"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      }
    ]
}

    Resource Admin

    Kebijakan izin Resource Admin dirancang untuk administrator sumber daya. Administrator sumber daya memiliki izin penuh pada namespace layanan mikro dan kluster. Administrator sumber daya tidak perlu membuat atau memelihara aplikasi. Administrator sumber daya hanya mengelola sumber daya di EDAS. Sebagai contoh, administrator sumber daya dapat memelihara namespace layanan mikro dan mengelola sumber daya Elastic Compute Service (ECS) di kluster ECS. Administrator sumber daya memiliki izin berikut:

    • Izin penuh pada namespace layanan mikro

    • Izin penuh pada kluster

    Kebijakan RAM berikut memberikan izin yang sama:

    {
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

    Resource Operator

    Kebijakan izin Resource Operator dirancang untuk insinyur O&M sumber daya. Dibandingkan dengan administrator sumber daya, insinyur O&M sumber daya tidak dapat membuat namespace layanan mikro atau kluster. Insinyur O&M sumber daya hanya dapat mengelola sumber daya saat ini. Insinyur O&M sumber daya memiliki izin berikut:

    • Izin penuh pada namespace layanan mikro kecuali izin untuk membuat namespace layanan mikro

    • Izin penuh pada kluster kecuali izin untuk membuat kluster

    Kebijakan RAM berikut memberikan izin yang sama:

    {
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Deny",
        "Action": [
          "edas:CreateNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Deny",
        "Action": [
          "edas:CreateCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

    Resource Browser

    Kebijakan izin Resource Browser dirancang untuk pemirsa sumber daya. Pemirsa sumber daya hanya dapat melihat namespace layanan mikro dan kluster. Pemirsa sumber daya memiliki izin berikut:

    • Izin untuk melihat namespace layanan mikro

    • Izin untuk melihat kluster

    Kebijakan RAM berikut memberikan izin yang sama:

    {
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

    Edas Browser

    Kebijakan izin Edas Browser dirancang untuk memberikan izin baca-saja EDAS. Izin baca-saja EDAS adalah izin untuk melihat sumber daya berikut di EDAS:

    • Namespace layanan mikro

    • Kluster

    • Aplikasi

    • Layanan mikro

    • Konfigurasi

    • Log operasi

    Kebijakan RAM berikut memberikan izin yang sama:

    {
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadService"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadOperationLog"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      }
    ]
}