Saat Akun Alibaba Cloud memiliki beberapa Pengguna RAM, Anda dapat membuat aturan persetujuan untuk mengurangi risiko operasional. Dengan aturan ini, operasi kritis yang dilakukan oleh Pengguna RAM di SAE harus disetujui oleh Akun Alibaba Cloud atau Pengguna RAM lain yang memiliki izin persetujuan. Hal ini memungkinkan kontrol detail halus terhadap izin Pengguna RAM. Topik ini menjelaskan cara membuat aturan persetujuan, menerapkan aplikasi yang memerlukan persetujuan, dan mengelola catatan persetujuan.
Prasyarat
-
Aplikasi telah dibuat dan diaktifkan.
-
Kontak telah dibuat. Hanya kontak yang dapat menjadi approver.
Langkah 1: Berikan izin kepada Pengguna RAM
-
Jika operasi diinisiasi oleh Akun Alibaba Cloud, Anda dapat melewati langkah ini karena tidak diperlukan izin tambahan.
-
Jika operasi diinisiasi oleh Pengguna RAM dengan izin
AliyunSAEFullAccess, Anda dapat melewati langkah ini.
1. Buat kebijakan izin kustom
-
Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, pilih . Pada halaman Policies, klik Create Policy.
-
Pada halaman Create Policy, klik tab JSON. Tempel kebijakan berikut ke dalam editor lalu klik Next to edit policy information.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "sae:*OperationApproval*" ], "Resource": [ "acs:sae:*:*:*" ] } ] } -
Pada halaman Edit Policy Information, tentukan Name dan Note untuk kebijakan kustom tersebut lalu klik OK.
2. Berikan izin kepada Pengguna RAM
-
Di panel navigasi sebelah kiri, pilih . Pada halaman Users, klik nama login pengguna target.
-
Pada halaman detail pengguna, klik tab Permissions. Di tab User Policies, klik Grant Permission.
-
Pada panel Grant Permission, klik tab Custom Policy, pilih kebijakan kustom yang telah Anda buat, lalu klik OK.
Pada bagian Added, verifikasi izin tersebut lalu klik Grant Permission.
Setelah izin diberikan, Anda dapat melihatnya di tab User Policies pada halaman detail Pengguna RAM.
Langkah 2: Buat aturan persetujuan
Baik Akun Alibaba Cloud maupun Pengguna RAM yang akan mengelola persetujuan harus membuat aturan persetujuan.
-
Masuk ke Konsol SAE. Di panel navigasi sebelah kiri, pilih .
-
Di panel navigasi sebelah kiri, klik Approval Settings. Pada halaman Approval Settings, klik Create Approval Setting.
-
Pada panel Create Approval Setting, konfigurasikan parameter berikut lalu klik OK.
-
Approval Scope Settings:
-
Resources: Filter resource dengan memilih Region, Namespace, dan Application dari daftar drop-down.
-
Region: Anda dapat memilih All Regions atau wilayah tertentu.
-
Jika Anda memilih All Regions, semua aplikasi di semua namespace di seluruh wilayah dipilih secara default.
-
Jika Anda memilih wilayah tertentu, Anda dapat memfilter lebih lanjut dengan memilih namespace dan aplikasi.
-
-
Namespace: Anda dapat memilih All Namespaces atau namespace tertentu.
-
Jika Anda memilih All Namespaces, semua aplikasi di semua namespace dalam wilayah target dipilih secara default.
-
Jika Anda memilih namespace tertentu, Anda kemudian dapat memfilter aplikasi tertentu.
-
-
Application or Task: Anda dapat memilih semua aplikasi, atau satu atau beberapa aplikasi tertentu.
-
-
Operation Type: Hanya tipe Publish Change yang didukung. Ini mencakup aksi Deploy Application dan Roll Back to a Previous Version.
-
-
Whitelist Settings: Dari daftar drop-down, pilih Pengguna RAM target. Anda dapat memilih beberapa pengguna dan menggunakan pencarian fuzzy.
Pengguna RAM dalam daftar putih dapat melakukan operasi pada aplikasi dalam cakupan persetujuan tanpa memerlukan persetujuan.
-
Approver Settings: Dari daftar drop-down Approver, pilih satu atau beberapa approver.
Catatan-
Hanya kontak yang dapat menjadi approver. Jika akun yang Anda butuhkan tidak ada dalam daftar drop-down, klik Contact Management untuk menambahkannya. Untuk informasi selengkapnya, lihat Kelola kontak.
-
Akun Alibaba Cloud adalah approver default untuk semua aturan. Akun ini dapat menerima semua Notifikasi persetujuan dan mengelola semua catatan persetujuan. Jika Anda tidak menambahkan informasi kontak untuk pemilik Akun Alibaba Cloud, pemilik tersebut tidak menerima Notifikasi persetujuan, tetapi tetap dapat melakukan operasi persetujuan.
-
Akun Alibaba Cloud dapat menambahkan semua Pengguna RAM sebagai approver. Jika Pengguna RAM tidak memiliki izin
ListUsers, mereka hanya dapat menambahkan diri mereka sendiri sebagai kontak. Jika mereka memiliki izinListUsers, mereka dapat menambahkan Pengguna RAM lain sebagai kontak. Untuk informasi selengkapnya tentang cara memberikan izin, lihat Berikan izin kepada Pengguna RAM.
-
-
-
Opsi: Pada halaman Approval Settings, Anda dapat Edit atau Delete aturan persetujuan yang sudah ada.
-
Edit: Di kolom Actions, klik Edit. Pada panel Change Approval Settings, ubah parameter yang sesuai.
-
Delete: Di kolom Actions, klik Delete. Pada kotak dialog yang muncul, klik OK.
-
Langkah 3: Ubah aplikasi dengan Pengguna RAM
Proses penerapan untuk Pengguna RAM berbeda tergantung pada apakah aturan persetujuan telah dikonfigurasi.
-
Tanpa aturan persetujuan: Pengguna RAM dapat langsung mengoperasikan resource tanpa memerlukan persetujuan.
-
Dengan aturan persetujuan: Jika Pengguna RAM tidak termasuk dalam daftar putih untuk aturan persetujuan yang sesuai, operasinya memerlukan persetujuan sebelum dapat dilanjutkan. Lakukan langkah-langkah berikut:
Setelah approver menyetujui atau menolak permintaan, sistem mengirimkan Notifikasi berisi hasilnya ke metode kontak yang telah Anda tentukan. Untuk informasi selengkapnya, lihat Kelola kontak.
-
Masuk ke Konsol SAE menggunakan Pengguna RAM. Di panel navigasi sebelah kiri, pilih . Kemudian, pilih wilayah dan namespace target, lalu klik nama aplikasi target.
-
Ubah aplikasi.
Deploy application
-
Pada halaman Basic Information aplikasi target, klik Deploy Application. Lalu, modifikasi konfigurasi sesuai kebutuhan dan pilih strategi rilis.
SAE mendukung strategi Phased Release dan Canary Release. Untuk informasi selengkapnya, lihat Terapkan aplikasi dalam satu batch, Terapkan aplikasi dalam beberapa batch, dan Terapkan aplikasi dengan rilis canary.
-
Klik OK.
Roll back version
-
Pada halaman Basic Information aplikasi target, klik Roll Back to a Previous Version.
-
Pada panel Roll Back to a Previous Version, pilih versi yang ingin Anda kembalikan, atur strategi rilis, lalu klik OK. Untuk informasi selengkapnya, lihat Kembalikan ke versi sebelumnya.
-
-
Setelah Anda menginisiasi penerapan aplikasi, kotak dialog Deploy Application Request muncul dan menunjukkan bahwa permintaan perubahan Anda telah diajukan. Anda dapat mengklik OK lalu memeriksa progres persetujuan di halaman Approval Records.
Jika Anda melakukan Roll Back to a Previous Version, kotak dialog ini tidak muncul. Anda dapat langsung melihat detailnya di halaman Change Details.
Anda juga dapat mengonfigurasi metode kontak Anda di halaman Contact Management untuk menerima Notifikasi SMS saat persetujuan diberikan.
CatatanSetelah Anda mengajukan permintaan persetujuan, periksa halaman Change Details aplikasi tersebut. Status eksekusi perubahan ini tetap To Be Approved hingga approver mengambil tindakan.
-
Jika approver menyetujui permintaan: status eksekusi di halaman Change Details berubah menjadi Approved. Anda kemudian dapat mengklik Deploy Application dan menunggu perubahan selesai.
-
Jika approver menolak permintaan: status eksekusi di halaman Change Details secara otomatis berubah menjadi Execution Terminated. Lihat langkah opsional di bawah untuk detail cara melihat alasan penolakan.
-
-
Opsi: Di panel navigasi sebelah kiri, pilih . Pada halaman Approval Records, klik tab Initiated by Me untuk melihat progres persetujuan.
Di tab Initiated by Me pada halaman Approval Records, Anda dapat melakukan operasi berikut:
-
Kirim pengingat: Di kolom Actions, klik Reminder. Pada kotak dialog yang muncul, klik OK untuk mengirim pengingat kepada para approver.
-
Batalkan permintaan: Di kolom Actions, klik Cancel. Pada kotak dialog yang muncul, klik OK untuk menarik kembali permintaan perubahan.
-
Lihat aplikasi untuk perubahan ini: Klik nama aplikasi di kolom Namespace: Application untuk membuka halaman Basic Information aplikasi target.
-
Lihat alasan penolakan: Arahkan kursor ke ikon
di samping Rejected untuk melihat alasan penolakan.
-
Langkah 4: Kelola catatan persetujuan sebagai approver
-
Masuk ke Konsol SAE menggunakan akun yang memiliki izin persetujuan. Di panel navigasi sebelah kiri, pilih .
-
Di panel navigasi sebelah kiri, klik Approval Records. Di tab To Be Approved, kelola permintaan perubahan yang diajukan oleh Pengguna RAM lain.
Opsi: Anda dapat melakukan operasi berikut di halaman ini:
-
View Details: Di kolom Actions catatan target, klik View Details untuk melihat detail perubahan aplikasi.
-
Approve: Di kolom Actions catatan target, klik Approve. Pada kotak dialog yang muncul, klik OK untuk menyetujui permintaan perubahan.
-
Reject: Di kolom Actions, klik Reject. Pada kotak dialog Confirm Approval Rejection, masukkan alasan penolakan lalu klik OK.
-
Transfer: Di kolom Actions, klik Transfer. Pada kotak dialog Approval Transfer, pilih approver baru lalu klik OK.
CatatanJika Anda memiliki beberapa catatan persetujuan tertunda, Anda dapat memilih kotak centang di samping catatan target lalu melakukan operasi Batch Approve, Batch Reject, atau Batch Transfer.
-
-
Operasi terkait: Di tab Handled pada halaman Approval Records, Anda dapat melihat permintaan perubahan yang telah Anda proses. Anda juga dapat mengklik nama aplikasi di kolom Namespace: Application untuk membuka halaman Basic Information aplikasi guna melihat detail lebih lanjut.