Pusat konfigurasi Nacos dari Microservices Engine (MSE) memungkinkan Anda mengonfigurasi izin akses berdasarkan instance, namespace, grup, atau ID data. Ini mencegah pengguna jahat untuk mendapatkan atau memodifikasi konfigurasi suatu instance. Topik ini menjelaskan cara mengonfigurasi otentikasi halus untuk pusat konfigurasi Nacos MSE.
Prasyarat
MSE telah diaktifkan. Jika belum, kunjungi Halaman produk MSE.
Sebuah mesin Nacos telah dibuat. Untuk informasi lebih lanjut, lihat Buat mesin Nacos.
Otentikasi telah diaktifkan. Untuk informasi lebih lanjut, lihat Aktifkan otentikasi.
Seorang pengguna RAM atau peran RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat pengguna RAM atau Buat peran RAM.
Prosedur
Topik ini menjelaskan cara memberikan dan mengonfigurasi izin akses pada koneksi langsung mesin, seperti yang ditunjukkan pada gambar berikut. Setelah izin diberikan, Anda dapat menggunakan klien Nacos untuk mengakses instance MSE Nacos sebagai pengguna RAM.
Untuk mengonfigurasi dan menggunakan otentikasi akses untuk kontrol mesin, Anda perlu memberikan pengguna RAM izin untuk menggunakan konsol MSE. Untuk informasi lebih lanjut, lihat Berikan izin pada sumber daya Microservices Registry.
Langkah 1: Buat kebijakan halus
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Policies, klik Create Policy.
Pada halaman Create Policy, klik tab JSON.
Konfigurasikan kebijakan.
Tabel berikut menjelaskan tindakan yang terlibat dalam otentikasi halus di pusat konfigurasi.
Tindakan
Deskripsi
mse:QueryNacosConfig
Izin baca pada konfigurasi pusat konfigurasi Nacos MSE. Izin ini memungkinkan Anda mendapatkan dan memantau konfigurasi menggunakan SDK.
mse:UpdateNacosConfig
Izin pembaruan pada konfigurasi pusat konfigurasi Nacos MSE. Izin ini memungkinkan Anda merilis dan memodifikasi konfigurasi menggunakan SDK.
Sumber daya yang terlibat dalam otentikasi halus di pusat konfigurasi harus ditentukan dalam format berikut:
acs:mse:*:*:instance/${instance_id}/${namespaceId}/${group}/config/${dataId}Anda juga dapat memodifikasi dokumen kebijakan berdasarkan deskripsi yang disediakan di Contoh.
Untuk informasi lebih lanjut tentang sintaks dan struktur kebijakan RAM, lihat Struktur dan sintaks kebijakan.
Klik Optional advanced optimize di bagian atas halaman, lalu klik Perform. Sistem melakukan operasi berikut selama optimasi lanjutan.
Fitur optimasi kebijakan lanjutan memungkinkan Anda melakukan operasi berikut:
Pisahkan sumber daya atau kondisi yang tidak kompatibel dengan tindakan.
Persempit sumber daya.
Hapus duplikat atau gabungkan pernyataan kebijakan.
Di halaman Create Policy, klik OK.
Dalam kotak dialog Create Policy, tentukan Name dan Description untuk kebijakan, lalu klik OK.
Langkah 2: Berikan izin kepada pengguna RAM atau peran RAM
Berikan izin kepada pengguna RAM
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, pilih Custom Policy dari daftar drop-down di bagian Policy. Masukkan nama kebijakan yang Anda buat di Langkah 1 di bidang tersebut, klik nama kebijakan yang ditampilkan, lalu klik Grant permissions.
Di panel Grant Permission, konfirmasikan bahwa otorisasi berhasil dan klik Close.
Berikan izin kepada peran RAM
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Roles, temukan peran RAM yang ingin Anda kelola dan klik Grant Permission di kolom Actions.
Anda juga dapat memilih beberapa peran RAM dan klik Grant Permission di bagian bawah daftar peran RAM untuk memberikan izin kepada beberapa peran RAM sekaligus.
Di panel Grant Permission, pilih Custom Policy dari daftar drop-down di bagian Policy. Masukkan nama kebijakan yang Anda buat di Langkah 1 di bidang tersebut, klik nama kebijakan yang ditampilkan, lalu klik Grant permissions.
Di panel Grant Permission, konfirmasikan bahwa otorisasi berhasil dan klik Close.
Contoh
Berikan pengguna izin baca-saja pada konfigurasi instance tertentu.
{ "Version": "1", "Statement": [ { "Action": [ "mse:QueryNacosConfig" ], "Resource": [ "acs:mse:*:*:instance/${instanceId1}", "acs:mse:*:*:instance/${instanceId2}" ], "Effect": "Allow" } ] }Berikan pengguna izin untuk membaca dan memodifikasi konfigurasi instance tertentu.
{ "Version": "1", "Statement": [ { "Action": [ "mse:QueryNacosConfig", "mse:UpdateNacosConfig" ], "Resource": [ "acs:mse:*:*:instance/${instanceId1}", "acs:mse:*:*:instance/${instanceId2}" ], "Effect": "Allow" } ] }Catatan${instanceId1} dan ${instanceId2} menunjukkan ID instance.
Berikan pengguna izin baca-saja pada konfigurasi di namespace tertentu dari sebuah instance.
{ "Statement": [ { "Effect": "Allow", "Action": "mse:QueryNacosConfig", "Resource": "acs:mse:*:*:instance/${instance_id}/${namespaceId}" } ], "Version": "1" }Berikan pengguna izin untuk membaca dan memodifikasi konfigurasi grup ${group} di namespace tertentu dari sebuah instance.
{ "Statement": [ { "Effect": "Allow", "Action": [ "mse:QueryNacosConfig", "mse:UpdateNacosConfig" ], "Resource": "acs:mse:*:*:instance/${instance_id}/${namespaceId}/${group}" } ], "Version": "1" }Berikan pengguna izin baca-saja pada konfigurasi ${dataId} dari grup ${group}.
{ "Statement": [ { "Effect": "Allow", "Action": "mse:QueryNacosConfig", "Resource": "acs:mse:*:*:instance/${instance_id}/${namespaceId}/${group}/config/${dataId}" } ], "Version": "1" }Berikan pengguna izin untuk membaca dan memodifikasi layanan ${serviceName} dari grup ${group}.
{ "Statement": [ { "Effect": "Allow", "Action": [ "mse:QueryNacosConfig", "mse:UpdateNacosConfig" ], "Resource": "acs:mse:*:*:instance/${instance_id}/${namespaceId}/${group}/config/${dataId}" } ], "Version": "1" }
Referensi
Untuk informasi lebih lanjut tentang otentikasi tingkat instance pusat konfigurasi, lihat Otentikasi akses oleh klien Nacos.