Microservices Engine (MSE) memungkinkan Anda memberikan izin operasional MSE kepada Pengguna RAM guna menghindari risiko keamanan akibat terpaparnya AccessKey Akun Alibaba Cloud. Dokumen ini menjelaskan cara membuat Pengguna RAM dan memberikan izin tersebut. Setelah diotorisasi, Pengguna RAM dapat menggunakan MSE.
Kasus penggunaan
Perusahaan Anda menggunakan Microservices Engine (MSE) dan perlu mengelola izin bagi karyawan berdasarkan peran masing-masing. Persyaratannya sebagai berikut:
Untuk alasan keamanan, Anda tidak ingin memaparkan AccessKey Akun Alibaba Cloud secara langsung kepada karyawan. Sebagai gantinya, Anda ingin memberikan izin ke akun masing-masing.
Pengguna hanya dapat mengakses resource yang telah diberi izin. Semua biaya ditagihkan ke akun perusahaan utama, sehingga akun individu tidak memerlukan penagihan terpisah.
Anda dapat mencabut izin dari akun pengguna atau menghapus akun tersebut kapan saja.
Sebagai produk terkelola, MSE melibatkan dua peran utama: developer dan personel operasional. Personel operasional bertanggung jawab mengelola kluster, namespace, dan izin, sedangkan developer bertanggung jawab mengelola konfigurasi dan layanan.
Penggunaan
Dokumen ini menjelaskan cara mengonfigurasi dan menggunakan izin akses untuk engine management link yang ditunjukkan pada gambar berikut. Setelah Akun Alibaba Cloud memberikan izin kepada Pengguna RAM, Pengguna RAM tersebut memperoleh izin yang sesuai di Konsol maupun melalui OpenAPI.

Untuk mengetahui cara mengonfigurasi dan menggunakan otentikasi akses untuk engine direct connection link, yang memungkinkan client Nacos mengakses engine Nacos MSE sebagai Pengguna RAM, lihat Otorisasi akses SDK.
Langkah 1: Buat Pengguna RAM
Login ke Konsol RAM dengan Akun Alibaba Cloud Anda dan buat Pengguna RAM.
Login ke RAM console dengan Akun Alibaba Cloud (akun utama) atau Pengguna RAM yang memiliki izin administratif (
AliyunRAMFullAccess).Di panel navigasi sebelah kiri, pilih .
Di halaman Users, klik Create User.
Di halaman Create User, pada bagian User Account Information, atur informasi dasar pengguna.
Logon Name (Wajib): Nama dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_). Panjang maksimal 64 karakter.
Display Name (Opsional): Nama dapat memiliki panjang hingga 128 karakter.
Tag (Opsional): Klik
, lalu masukkan kunci tag dan nilai tag. Tag membantu Anda mengelola pengguna.
CatatanKlik Add User untuk membuat beberapa Pengguna RAM sekaligus.
Di bagian Access Method, pilih Console Password Logon atau Programmatic Access.
Console Password Logon: Memungkinkan Anda mengonfigurasi pengaturan keamanan dasar untuk login konsol, seperti menghasilkan atau menyesuaikan password login secara otomatis, mewajibkan reset password saat login berikutnya, dan mewajibkan multi-factor authentication (MFA).
CatatanJika Anda menetapkan password login kustom, password tersebut harus memenuhi aturan kompleksitas yang dikonfigurasi di bawah . Untuk informasi lebih lanjut tentang cara menetapkan aturan kompleksitas password, lihat Tetapkan kebijakan kata sandi untuk Pengguna RAM.
Programmatic Access: Pasangan AccessKey akan dibuat secara otomatis untuk Pengguna RAM. Pengguna RAM dapat menggunakan pasangan AccessKey tersebut untuk mengakses Alibaba Cloud melalui API atau alat pengembangan lainnya.
CatatanUntuk alasan keamanan, kami menyarankan hanya memilih Console Access untuk Pengguna RAM. Hal ini mencegah pengguna yang telah meninggalkan organisasi Anda mengakses resource Alibaba Cloud menggunakan AccessKey.
Klik OK.
Langkah 2: Tambahkan izin ke Pengguna RAM
Anda harus memberikan izin yang diperlukan kepada Pengguna RAM sebelum mereka dapat menggunakan layanan Alibaba Cloud.
Login ke RAM console sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Di halaman Users, temukan Pengguna RAM yang dituju dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa Pengguna RAM dan klik Add Permissions di bawah daftar pengguna untuk memberikan izin secara batch.
Di panel Grant Permission, pilih Policies. Di kotak teks, masukkan nama kebijakan yang ingin Anda tambahkan, klik kebijakan tersebut dalam hasil pencarian, lalu klik OK.
Kebijakan sistem (coarse-grained authorization)
MSE menyediakan dua kebijakan sistem untuk otorisasi coarse-grained.
Policy name
Description
AliyunMSEFullAccess
Kebijakan ini memberikan izin manajemen penuh kepada Pengguna RAM di konsol.
AliyunMSEReadOnlyAccess
Kebijakan ini memberikan akses read-only kepada Pengguna RAM untuk semua resource di bawah Akun Alibaba Cloud.
CatatanKami menyarankan agar Anda memberikan kebijakan AliyunMSEFullAccess kepada personel operasional untuk membuat dan menghapus resource. Berikan kebijakan AliyunMSEReadOnlyAccess kepada developer agar mereka dapat melihat resource tersebut tetapi tidak dapat membuat atau menghapusnya. Untuk kontrol izin developer yang lebih detail, gunakan kebijakan kustom.
Kebijakan kustom (otorisasi fine-grained)
CatatanUntuk otorisasi yang lebih detail, buat kebijakan kustom.
Untuk informasi tentang granularitas otorisasi dan konfigurasinya untuk registri Nacos, lihat Otorisasi detail halus untuk registri. Untuk informasi tentang granularitas otorisasi dan konfigurasinya untuk pusat konfigurasi Nacos, lihat Otorisasi detail halus untuk pusat konfigurasi.
Tabel berikut memetakan aksi MSE ke izin RAM untuk membantu Anda membuat kebijakan kustom.
Action
Description
Read-only
CreateCluster
Membuat kluster.
No
DeleteCluster
Menghapus kluster.
No
QueryClusterDetail
Mengambil detail kluster.
Yes
RestartCluster
Me-restart kluster.
No
RetryCluster
Mencoba ulang operasi kluster.
No
UpdateCluster
Memperbarui kluster.
No
CreateNacosConfig
Membuat konfigurasi Nacos.
No
DeleteNacosConfig
Menghapus konfigurasi Nacos.
No
DeleteNacosConfigs
Menghapus konfigurasi Nacos secara batch.
No
GetNacosConfig
Mengambil konfigurasi Nacos.
Yes
GetNacosHistoryConfig
Mengambil riwayat konfigurasi Nacos.
Yes
UpdateNacosConfig
Memperbarui konfigurasi Nacos.
No
UpdateNacosInstance
Memperbarui instans.
No
DeleteNacosService
Menghapus layanan.
No
CreateNacosService
Membuat layanan.
No
UpdateNacosService
Memperbarui layanan.
No
CreateNacosInstance
Membuat instans.
No
UpdateNacosCluster
Memperbarui kluster layanan.
No
Operasi API berikut hanya mendukung otorisasi tingkat akun dan tidak mendukung pemfilteran berdasarkan instans.
Action
Description
Read-only
ListClusters
Mengambil daftar kluster.
Yes
ListServiceQuotas
Menanyakan dan menampilkan batas kuota. Kami menyarankan agar Anda memberikan izin ini.
Yes
Operasi API berikut hanya mendukung otorisasi tingkat instans dan tidak mendukung pemfilteran detail halus.
Action
Description
Read-only
ListNacosConfigs
Mengambil daftar konfigurasi Nacos.
Yes
ListNacosHistoryConfigs
Mengambil riwayat versi konfigurasi Nacos.
Yes
ListAnsServices
Mengambil daftar semua layanan.
Yes
ListAnsServiceClusters
Mengambil kluster dalam suatu layanan.
Yes
ListAnsInstances
Mengambil instans suatu layanan.
Yes
Contoh 1: Berikan izin baca dan tulis kepada Pengguna RAM pada instans
mse-cn-0pp1j8om80a.CatatanDalam dokumen ini,
mse-cn-0pp1j8om80amerujuk pada InstanceId, bukan ClusterId.{ "Statement": [ { "Action": "mse:ListClusters", "Resource": "acs:mse:*:*:*", "Effect": "Allow" }, { "Action": "mse:*", "Resource": "acs:mse:*:*:instance/mse-cn-0pp1j8om80a", "Effect": "Allow" } ], "Version": "1" }Contoh 2: Berikan izin baca kepada Pengguna RAM untuk semua instans.
{ "Statement": [ { "Action": [ "mse:List*", "mse:Query*", "mse:Get*" ], "Resource": "acs:mse:*:*:*", "Effect": "Allow" } ], "Version": "1" }Contoh 3: Berikan izin baca dan tulis kepada Pengguna RAM untuk konfigurasi pada instans
mse-cn-0pp1j8om80a, terbatas pada namespace3fd98c48-a709-4061-bba1-e341d79d681b.Skenario kompleks ini memerlukan izin berikut:
Izin untuk mendaftar kluster, yang memungkinkan pengguna menemukan kluster target.
Semua izin baca pada kluster, yang memungkinkan pengguna mengakses instans dan melihat semua resource-nya.
Izin untuk membuat dan memodifikasi konfigurasi di namespace yang ditentukan.
{ "Version": "1", "Statement": [{ "Action": [ "mse:ListClusters" ], "Resource": [ "acs:mse:*:*:*" ], "Effect": "Allow" }, { "Action": [ "mse:List*", "mse:Query*", "mse:Get*" ], "Resource": [ "acs:mse:*:*:instance/mse-cn-0pp1j8om8" ], "Effect": "Allow" }, { "Action": [ "mse:CreateNacosConfig", "mse:UpdateNacosConfig" ], "Resource": [ "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b" ], "Effect": "Allow" } ] }Contoh 4: Berikan izin baca dan tulis kepada Pengguna RAM untuk konfigurasi dengan DataId tertentu pada instans
mse-cn-0pp1j8om80a.Skenario kompleks ini memerlukan izin berikut:
Izin untuk mendaftar kluster, yang memungkinkan pengguna menemukan kluster target.
Semua izin baca pada kluster, yang memungkinkan pengguna mengakses instans dan melihat semua resource-nya.
Izin untuk membuat dan memodifikasi konfigurasi di namespace yang ditentukan.
Izin untuk membuat dan memodifikasi konfigurasi di grup yang ditentukan.
Format ARN resource:
acs:mse:*:*:instance/${instanceId}/${namespaceId}/${groupId}/${dataId}
{ "Version": "1", "Statement": [{ "Action": [ "mse:ListClusters" ], "Resource": [ "acs:mse:*:*:*" ], "Effect": "Allow" }, { "Action": [ "mse:List*", "mse:Query*", "mse:Get*" ], "Resource": [ "acs:mse:*:*:instance/mse-cn-0pp1j8om8" ], "Effect": "Allow" }, { "Action": [ "mse:CreateNacosConfig", "mse:UpdateNacosConfig" ], "Resource": [ "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b/DEFAULT_GROUP/prod.yaml" ], "Effect": "Allow" } ] }Contoh 5: Berikan izin baca dan tulis kepada Pengguna RAM untuk konfigurasi layanan tertentu pada instans
mse-cn-0pp1j8om80a.Skenario kompleks ini memerlukan izin berikut:
Izin untuk mendaftar kluster, yang memungkinkan pengguna menemukan kluster target.
Semua izin baca pada kluster, yang memungkinkan pengguna mengakses instans dan melihat semua resource-nya.
Izin untuk membuat dan memodifikasi konfigurasi di namespace yang ditentukan.
Izin untuk membuat dan memodifikasi konfigurasi di grup yang ditentukan.
Format ARN resource:
acs:mse:*:*:instance/${instanceId}/${namespaceId}/${groupId}/${serviceName}{ "Version": "1", "Statement": [{ "Action": [ "mse:ListClusters" ], "Resource": [ "acs:mse:*:*:*" ], "Effect": "Allow" }, { "Action": [ "mse:List*", "mse:Query*", "mse:Get*" ], "Resource": [ "acs:mse:*:*:instance/mse-cn-0pp1j8om8" ], "Effect": "Allow" }, { "Action": [ "mse:CreateNacosConfig", "mse:UpdateNacosConfig" ], "Resource": [ "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b/DEFAULT_GROUP/test-service" ], "Effect": "Allow" } ] }
Di panel Grant Permission, setelah izin diberikan, klik Close.
Langkah selanjutnya
Setelah membuat Pengguna RAM, bagikan kredensial logon (username dan password) atau AccessKey-nya. Pengguna tersebut kemudian dapat menggunakan kredensial ini untuk login ke konsol atau melakukan panggilan API.
Login ke konsol
Buka halaman RAM User Logon.
Di halaman RAM User Logon, masukkan username RAM dan klik Next. Masukkan password Pengguna RAM, lalu klik Log On.
CatatanNama logon Pengguna RAM menggunakan format
<$username>@<$AccountAlias>atau<$username>@<$AccountAlias>.onaliyun.com. <$AccountAlias> adalah alias akun. Jika tidak ada alias akun yang ditetapkan, ID Akun Alibaba Cloud digunakan secara default.Dari halaman utama pengguna, klik produk yang telah Anda otorisasi untuk diakses.
Lakukan panggilan operasi API
Untuk melakukan panggilan API, gunakan ID AccessKey dan Secret AccessKey Pengguna RAM dalam kode Anda.