全部产品
Search

搜索本产品

    Microservices Engine:Beri Izin pada Sumber Daya Microservices Registry

    文档中心

    Microservices Engine:Beri Izin pada Sumber Daya Microservices Registry

    更新时间:Jul 02, 2025

    Anda dapat memberikan izin operasi pada sumber daya di Microservices Engine (MSE) kepada pengguna RAM menggunakan akun Alibaba Cloud. Metode ini membantu mencegah risiko keamanan yang mungkin terjadi jika pasangan AccessKey dari akun Alibaba Cloud Anda terungkap. Topik ini menjelaskan cara membuat pengguna RAM dan memberikan izin kepada pengguna RAM pada sumber daya Microservices Registry. Setelah memberikan izin yang diperlukan kepada pengguna RAM, Anda dapat melakukan operasi terkait sebagai pengguna RAM tersebut.

    Skenario

    Layanan MSE diaktifkan untuk sebuah perusahaan. Izin sumber daya yang diperlukan oleh karyawan bervariasi berdasarkan peran mereka. Perusahaan memiliki persyaratan berikut:

    • Pasangan AccessKey dari akun Alibaba Cloud perusahaan harus dirahasiakan untuk memastikan keamanan. Perusahaan ingin memberikan izin yang berbeda kepada pengguna.

    • Hanya pengguna yang diberi izin yang dapat mengelola sumber daya. Penggunaan sumber daya dan biaya tidak dihitung secara terpisah untuk setiap pengguna. Tagihan dibuat pada akun Alibaba Cloud perusahaan.

    • Perusahaan dapat mencabut izin yang diberikan kepada pengguna RAM dan menghapus pengguna RAM.

    • MSE adalah layanan terkelola yang menyediakan dua peran: pengembang dan O&M. Pengembang bertanggung jawab atas konfigurasi dan manajemen layanan. Personel O&M bertanggung jawab atas instance, namespace, dan manajemen izin.

    Catatan Penggunaan

    Dalam topik ini, izin pada tautan kontrol akses engine yang ditunjukkan pada gambar berikut dikonfigurasi dan digunakan. Setelah memberikan izin yang diperlukan pada tautan ini kepada pengguna RAM dengan menggunakan akun Alibaba Cloud Anda, Anda dapat mengakses MSE dalam mode Akses Konsol atau mode Akses OpenAPI sebagai pengguna RAM.

    幻灯片1.JPG

    Catatan

    Anda juga dapat menggunakan tautan akses langsung engine yang ditunjukkan pada gambar sebelumnya untuk mengakses instance Nacos MSE dengan menggunakan klien Nacos sebagai pengguna RAM. Untuk informasi lebih lanjut tentang otentikasi akses dan penggunaan tautan ini, lihat Otentikasi Akses oleh Klien Nacos.

    Langkah 1: Buat Pengguna RAM

    Masuk ke Konsol Resource Access Management (RAM) dan buat pengguna RAM menggunakan akun Alibaba Cloud Anda.

    1. Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki hak administratif.

    2. Di panel navigasi sisi kiri, pilih Identities > Users.

    3. Di halaman Users, klik Create User.image

    4. Di bagian User Account Information dari halaman Create User, konfigurasikan parameter berikut:

      • Logon Name: Nama masuk dapat memiliki panjang hingga 64 karakter, dan dapat berisi huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_).

      • Display Name: Nama tampilan dapat memiliki panjang hingga 128 karakter.

      • Tag: Klik ikon edit dan masukkan kunci tag dan nilai tag. Anda dapat menambahkan satu atau lebih tag ke pengguna RAM. Dengan cara ini, Anda dapat mengelola pengguna RAM berdasarkan tag.

      Catatan

      Anda dapat mengklik Add User untuk membuat beberapa pengguna RAM sekaligus.

    5. Di bagian Access Mode, pilih Console Access atau Using permanent AccessKey to access.

      • Console Access: Jika Anda memilih Akses Konsol, Anda harus mengkonfigurasi pengaturan dasar untuk keamanan masuk. Pengaturan ini menentukan apakah akan menggunakan kata sandi masuk yang dihasilkan sistem atau kata sandi masuk kustom, apakah akan mereset kata sandi saat masuk berikutnya, dan apakah akan mengaktifkan autentikasi multi-faktor (MFA).

        Catatan

        Jika Anda memilih Kata Sandi Kustom di bagian Kata Sandi Konsol, Anda harus menentukan kata sandi. Kata sandi harus memenuhi persyaratan kompleksitas yang Anda tentukan di halaman Identities > Settings. Untuk informasi lebih lanjut tentang persyaratan kompleksitas kata sandi, lihat Konfigurasikan kebijakan kata sandi untuk pengguna RAM.

      • Using permanent AccessKey to access: Jika Anda memilih Using permanent AccessKey to access, pasangan AccessKey secara otomatis dibuat untuk pengguna RAM yang Anda buat. Pengguna RAM dapat memanggil operasi API atau menggunakan alat pengembangan lainnya untuk mengakses sumber daya Alibaba Cloud.

      Catatan

      Untuk memastikan keamanan sumber daya Anda, kami sarankan Anda memilih Akses Konsol untuk pengguna RAM. Dengan cara ini, pengguna RAM tidak dapat lagi menggunakan pasangan AccessKey untuk mengakses sumber daya Alibaba Cloud setelah pengguna RAM meninggalkan organisasi.

    6. Klik OK.

    Langkah 2: Berikan Izin kepada Pengguna RAM

    Sebelum menggunakan pengguna RAM, berikan izin yang diperlukan kepada pengguna RAM.

    1. Masuk ke Konsol RAM sebagai administrator RAM.

    2. Di panel navigasi sisi kiri, pilih Identities > Users.

    3. Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.

      image

      Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.

    4. Di panel Grant Permission, pilih kebijakan di bagian Policy. Masukkan kebijakan yang ingin Anda tambahkan di kotak pencarian di bagian Kebijakan, klik kebijakan yang ditampilkan, dan kemudian klik Grant permissions.

      • Kebijakan sistem untuk otorisasi granular kasar

        MSE mendukung dua kebijakan sistem untuk otorisasi granular kasar. Tabel berikut menggambarkan kebijakan tersebut.

        Kebijakan

        Deskripsi

        AliyunMSEFullAccess

        Izin untuk mengelola MSE. Anda dapat menggunakan pengguna RAM yang dilampirkan ke kebijakan ini untuk mengelola semua fitur di konsol MSE dengan cara yang sama seperti Anda menggunakan akun Alibaba Cloud untuk mengelola MSE.

        AliyunMSEReadOnlyAccess

        Izin baca-saja MSE. Pengguna RAM yang dilampirkan ke kebijakan ini dapat membaca semua sumber daya akun Alibaba Cloud.

        Catatan

        Kami sarankan Anda melampirkan kebijakan AliyunMSEFullAccess kepada personel O&M. Dengan cara ini, personel O&M dapat membuat dan menghapus sumber daya. Kami sarankan Anda melampirkan kebijakan AliyunMSEReadOnlyAccess kepada pengembang. Dengan cara ini, pengembang dapat melihat sumber daya tetapi tidak dapat menghapus atau membuat sumber daya. Jika Anda ingin mengelola izin pengembang secara granular, Anda dapat menggunakan salah satu kebijakan kustom berikut:

      • Kebijakan kustom untuk otorisasi granular halus

        Catatan

        Tabel berikut menggambarkan izin MSE untuk membantu Anda mengonfigurasi kebijakan kustom.

        Aksi

        Deskripsi

        Baca-saja

        CreateCluster

        Membuat instance

        Tidak

        DeleteCluster

        Menghapus instance

        Tidak

        QueryClusterDetail

        Meminta detail instance

        Ya

        RestartCluster

        Memulai ulang instance

        Tidak

        RetryCluster

        Mencoba ulang instance

        Tidak

        UpdateCluster

        Memperbarui instance

        Tidak

        CreateNacosConfig

        Membuat konfigurasi Nacos

        Tidak

        DeleteNacosConfig

        Menghapus konfigurasi Nacos

        Tidak

        DeleteNacosConfigs

        Menghapus konfigurasi Nacos sekaligus

        Tidak

        GetNacosConfig

        Menampilkan konfigurasi Nacos

        Ya

        GetNacosHistoryConfig

        Menampilkan detail historis konfigurasi Nacos

        Ya

        UpdateNacosConfig

        Memperbarui konfigurasi Nacos

        Tidak

        UpdateNacosInstance

        Memperbarui instance Nacos

        Tidak

        DeleteNacosService

        Menghapus layanan Nacos

        Tidak

        CreateNacosService

        Membuat layanan Nacos

        Tidak

        UpdateNacosService

        Memperbarui layanan Nacos

        Tidak

        CreateNacosInstance

        Membuat instance Nacos

        Tidak

        UpdateNacosCluster

        Memperbarui kluster Nacos

        Tidak

        Izin yang dijelaskan dalam tabel berikut hanya dapat diberikan pada tingkat akun. Izin tidak dapat ditampilkan berdasarkan instance.

        Aksi

        Deskripsi

        Baca-saja

        ListClusters

        Meminta daftar instance.

        Ya

        ListServiceQuotas

        Meminta dan menampilkan kuota. Kami sarankan Anda memberikan izin ini.

        Ya

        Izin yang dijelaskan dalam tabel berikut hanya dapat diberikan pada tingkat instance. Tampilan izin granular halus tidak didukung.

        Aksi

        Deskripsi

        Baca-saja

        ListNacosConfigs

        Meminta daftar konfigurasi Nacos.

        Ya

        ListNacosHistoryConfigs

        Meminta daftar konfigurasi historis Nacos.

        Ya

        ListAnsServices

        Meminta daftar semua layanan.

        Ya

        ListAnsServiceClusters

        Meminta daftar kluster layanan.

        Ya

        ListAnsInstances

        Meminta daftar instance layanan.

        Ya

      Contoh 1: Berikan pengguna RAM izin baca-tulis pada instance mse-cn-0pp1j8om80a.

      Catatan

      Dalam contoh ini, mse-cn-0pp1j8om80a menunjukkan ID yang ditentukan oleh InstanceId, bukan ID yang ditentukan oleh ClusterId.

      {
  "Statement": [
    {
      "Action": "mse:ListClusters",
      "Resource": "acs:mse:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": "mse:*",
      "Resource": "acs:mse:*:*:instance/mse-cn-0pp1j8om80a",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

      Contoh 2: Berikan pengguna RAM izin baca pada semua instance.

       {
  "Statement": [
    {
        "Action": [
        "mse:List*",
        "mse:Query*",
        "mse:Get*"
      ],
      "Resource": "acs:mse:*:*:*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

      Contoh 3: Berikan pengguna RAM izin baca-tulis pada konfigurasi namespace 3fd98c48-a709-4061-bba1-e341d79d681b di instance mse-cn-0pp1j8om80a.

      Contoh ini menunjukkan skenario otorisasi kompleks. Tingkat izin berikut diperlukan untuk mencapai otorisasi granular halus:

      1. Izin untuk meminta instance. Izin memungkinkan pengguna RAM melihat informasi instance.

      2. Izin baca pada semua sumber daya di instance. Izin memungkinkan pengguna RAM mengakses instance dan melihat semua sumber daya instance.

      3. Izin untuk membuat dan memodifikasi konfigurasi di namespace.

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "mse:ListClusters"
            ],
            "Resource": [
                "acs:mse:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "mse:List*",
                "mse:Query*",
                "mse:Get*"
            ],
            "Resource": [
                "acs:mse:*:*:instance/mse-cn-0pp1j8om8"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "mse:CreateNacosConfig",
                "mse:UpdateNacosConfig"
            ],
            "Resource": [
                "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b"
            ],
            "Effect": "Allow"
        }
    ]
}

      Contoh 4: Berikan pengguna RAM izin baca-tulis pada konfigurasi yang ditentukan oleh DataId di instance mse-cn-0pp1j8om80a.

      Contoh ini menunjukkan skenario otorisasi kompleks. Tingkat izin berikut diperlukan untuk mencapai otorisasi granular halus:

      1. Izin untuk meminta instance. Izin memungkinkan pengguna RAM melihat informasi instance.

      2. Izin baca pada semua sumber daya di instance. Izin memungkinkan pengguna RAM mengakses instance dan melihat semua sumber daya instance.

      3. Izin untuk membuat dan memodifikasi konfigurasi di namespace.

      4. Izin untuk membuat dan memodifikasi konfigurasi di grup.

      5. Sumber daya: acs:mse:*:*:instance/${instanceId}/${namespaceId}/${groupId}/${dataId}.

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "mse:ListClusters"
            ],
            "Resource": [
                "acs:mse:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "mse:List*",
                "mse:Query*",
                "mse:Get*"
            ],
            "Resource": [
                "acs:mse:*:*:instance/mse-cn-0pp1j8om8"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "mse:CreateNacosConfig",
                "mse:UpdateNacosConfig"
            ],
            "Resource": [

                "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b/DEFAULT_GROUP/prod.yaml"
            ],
            "Effect": "Allow"
        }
    ]
}

      Contoh 5: Berikan pengguna RAM izin baca-tulis pada konfigurasi layanan tertentu di instance mse-cn-0pp1j8om80a.

      Contoh ini menunjukkan skenario otorisasi kompleks. Tingkat izin berikut diperlukan untuk mencapai otorisasi granular halus:

      1. Izin untuk meminta instance. Izin memungkinkan pengguna RAM melihat informasi instance.

      2. Izin baca pada semua sumber daya di instance. Izin memungkinkan pengguna RAM mengakses instance dan melihat semua sumber daya instance.

      3. Izin untuk membuat dan memodifikasi konfigurasi di namespace.

      4. Izin untuk membuat dan memodifikasi konfigurasi di grup.

      5. Sumber daya: acs:mse:*:*:instance/${instanceId}/${namespaceId}/${groupId}/${serviceName}.

        {
    "Version": "1",
    "Statement": [{
            "Action": [
                "mse:ListClusters"
            ],
            "Resource": [
                "acs:mse:*:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "mse:List*",
                "mse:Query*",
                "mse:Get*"
            ],
            "Resource": [
                "acs:mse:*:*:instance/mse-cn-0pp1j8om8"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "mse:CreateNacosConfig",
                "mse:UpdateNacosConfig"
            ],
            "Resource": [

                "acs:mse:*:*:instance/mse-cn-0pp1j8om8/3fd98c48-a709-4061-bba1-e341d79d681b/DEFAULT_GROUP/test-service"
            ],
            "Effect": "Allow"
        }
    ]
}

    5. Di panel Grant Permission, konfirmasikan bahwa otorisasi berhasil dan klik Close.

    Apa yang Harus Dilakukan Selanjutnya

    Setelah membuat pengguna RAM menggunakan akun Alibaba Cloud, Anda dapat membagikan nama masuk dan kata sandi atau pasangan AccessKey dari pengguna RAM kepada karyawan lain. Karyawan tersebut dapat melakukan langkah-langkah berikut untuk masuk ke konsol RAM atau memanggil operasi API menggunakan pengguna RAM.

    • Masuk ke konsol MSE

      1. Pergi ke halaman Masuk Pengguna RAM.

      2. Di halaman RAM User Logon, masukkan nama pengguna RAM dan klik Next. Selanjutnya, masukkan kata sandi dan klik Log On.

        Catatan

        Nama masuk pengguna RAM berformat <$username>@<$AccountAlias> atau <$username>@<$AccountAlias>.onaliyun.com. <$AccountAlias> menentukan alias pengguna RAM. Jika alias tidak ditentukan, ID akun Alibaba Cloud digunakan secara default.

      3. Di halaman pusat pengguna RAM, klik layanan tempat pengguna RAM memiliki izin untuk mengakses konsol layanan tersebut.

    • Panggil operasi API.

      Gunakan pasangan AccessKey dari pengguna RAM untuk memanggil operasi API. Tentukan ID AccessKey dan Rahasia AccessKey daripengguna RAM di kode.