Serverless App Engine (SAE) mengelola izin melalui Alibaba Cloud Resource Access Management (RAM), sehingga menghilangkan kebutuhan bagi banyak pengguna untuk berbagi kata sandi akun Alibaba Cloud atau Pasangan Kunci Akses (AccessKey ID dan AccessKey Secret). Hal ini bertujuan untuk mengurangi risiko keamanan. Topik ini menjelaskan cara membuat kebijakan otorisasi dan mengonfigurasi izin di SAE menggunakan RAM.
Prasyarat
Pemahaman tentang struktur dasar dan sintaks bahasa kebijakan. Untuk informasi lebih lanjut, lihat sintaks dan struktur kebijakan serta elemen dasar dari sebuah kebijakan.
Kebijakan RAM
Izin diberikan untuk mengizinkan atau menolak akses ke sumber daya tertentu. Sebuah kebijakan terdiri dari satu set izin yang menentukan sumber daya atau operasi yang diotorisasi, serta kondisi otorisasi. Ini berfungsi sebagai spesifikasi bahasa sederhana.
Dalam RAM, sebuah kebijakan adalah entitas sumber daya. SAE mendukung:
Kebijakan sistem: Dibuat dan dipelihara oleh Alibaba Cloud, menyediakan kontrol izin kasar untuk pengguna RAM. Kebijakan sistem tidak dapat dimodifikasi.
Kebijakan kustom: Buat, modifikasi, dan hapus kebijakan kustom untuk kontrol izin detail halus atas pengguna RAM, termasuk pengelolaan versi kebijakan kustom.
Kebijakan sistem
Saat pertama kali masuk ke Konsol SAE sebagai pengguna RAM, SAE akan menampilkan kotak dialog selamat datang. Otorisasi izin untuk sub-akun dilakukan melalui akun utama di Konsol RAM:
Kebijakan sistem
Nama Kebijakan | Deskripsi |
AliyunSAEFullAccess | Mengizinkan akses penuh ke Serverless App Engine (SAE). Anda hanya dapat mengelola aplikasi setelah kebijakan ini disambungkan. |
AliyunSLBReadOnlyAccess | Mengizinkan akses read-only ke Server Load Balancer (SLB). Anda hanya dapat menggunakan fitur terkait SLB setelah kebijakan ini disambungkan. |
AliyunACMFullAccess | Mengizinkan akses penuh ke Application Configuration Management (ACM). Anda hanya dapat menggunakan fitur ACM bawaan dari SAE setelah kebijakan ini disambungkan. |
AliyunECSReadOnlyAccess | Mengizinkan akses read-only ke Elastic Compute Service (ECS). Anda hanya dapat memilih grup keamanan yang ada saat membuat aplikasi setelah kebijakan ini disambungkan. |
AliyunOOSReadOnlyAccess | Mengizinkan akses read-only ke Operation Orchestration Service (OOS). Anda hanya dapat menggunakan fitur mulai dan hentikan terjadwal untuk mengelola aplikasi secara batch di SAE setelah kebijakan ini disambungkan. |
AliyunBSSReadOnlyAccess | Mengizinkan akses read-only ke Manajemen Penagihan. Anda hanya dapat melihat saldo paket sumber daya yang Anda beli di halaman Ikhtisar Konsol SAE setelah kebijakan ini disambungkan. |
AliyunARMSReadOnlyAccess | Mengizinkan akses read-only ke Application Real-Time Monitoring Service (ARMS). Anda hanya dapat menggunakan fitur pemantauan aplikasi bawaan dari SAE setelah kebijakan ini disambungkan. |
AliyunRAMReadOnlyAccess | Mengizinkan akses read-only ke Resource Access Management (RAM). Anda hanya dapat menanyakan izin Pengguna RAM dan diperingatkan untuk memberikan izin yang diperlukan setelah kebijakan ini disambungkan. |
AliyunCloudMonitorReadOnlyAccess | Mengizinkan akses read-only ke CloudMonitor. Anda hanya dapat menggunakan fitur pemantauan dasar bawaan dari SAE setelah kebijakan ini disambungkan. |
AliyunContainerRegistryReadOnlyAccess | Mengizinkan akses read-only ke Container Registry. Anda hanya dapat memilih Container Registry Edisi Perusahaan saat menggunakan citra untuk menerapkan aplikasi di SAE setelah kebijakan ini disambungkan. |
AliyunALBReadOnlyAccess | Mengizinkan akses read-only ke Application Load Balancer (ALB). |
AliyunYundunCertReadOnlyAccess | Mengizinkan akses read-only ke Layanan Manajemen Sertifikat. |
AliyunEventBridgeReadOnlyAccess | Mengizinkan akses read-only ke EventBridge. Anda hanya dapat membuat dan memperbarui pekerjaan setelah kebijakan ini disambungkan. |
AliyunSAEFullAccess memberikan izin penuh pada semua sumber daya SAE. Untuk izin lebih rinci, seperti pada tingkat namespace atau aplikasi, atau untuk produk terkait, lihat kebijakan kustom.
Kebijakan kustom
Jika kebijakan sistem tidak memenuhi kebutuhan bisnis spesifik Anda, Anda dapat membuat kebijakan kustom untuk kontrol akses terperinci.
Asisten Izin SAE memfasilitasi konfigurasi visual izin SAE, menghasilkan pernyataan kebijakan tanpa pengeditan skrip manual, serta membantu membuat dan menetapkan kebijakan kustom kepada pengguna RAM di Konsol RAM.
Aturan otorisasi
Tabel berikut menggambarkan sumber daya.
Tipe Sumber Daya | Deskripsi Sumber Daya dalam Kebijakan Otorisasi |
aplikasi |
|
Tabel berikut menggambarkan parameter.
Parameter | Deskripsi |
$regionid | ID Wilayah. Anda dapat menggunakan |
$accountid | ID Akun Alibaba Cloud. Anda dapat menggunakan |
$namespaceid | ID Namespace. ID Namespace default kosong, diubah menjadi Catatan ID Namespace hanya dapat berisi huruf kecil atau angka. |
$appid | ID Aplikasi. Anda dapat menggunakan |
Contoh berikut menggambarkan deskripsi sumber daya.
Ambil wilayah China (Shanghai) sebagai contoh.
ARN berikut berkaitan dengan aplikasi dengan ID 0c815215-46a1-46a2-ba1e-0102a740**** dan ID namespace test.
acs:sae:cn-shanghai:*:application/test/0c815215-46a1-46a2-ba1e-0102a740****ARN berikut untuk namespace default.
acs:sae:cn-shanghai:*:application/_default/*
Contoh kebijakan
Skenario 1: Memberikan Izin Tingkat Namespace
Deskripsi skenario: Berikan izin baca untuk SAE dan izin tulis untuk namespace tertentu dan aplikasi mereka.
Pengguna RAM diizinkan untuk mengelola sumber daya terkait namespace default, namespace dengan ID test, dan aplikasi dalam namespace tersebut.
Sumber Daya
Tindakan
Deskripsi
acs:sae:cn-shanghai:*
sae:Query*
API yang dimulai dengan Query dapat mengelola semua sumber daya terkait wilayah China (Shanghai).
sae:List*
API yang dimulai dengan List dapat mengelola semua sumber daya terkait wilayah China (Shanghai).
sae:Describe*
API yang dimulai dengan Describe dapat mengelola semua sumber daya terkait wilayah China (Shanghai).
sae:*Ingress*
API yang mengandung Ingress dapat mengelola semua sumber daya terkait wilayah China (Shanghai).
sae:*ChangeOrder*
API yang mengandung ChangeOrder dapat mengelola semua sumber daya terkait wilayah China (Shanghai).
sae:*Pipeline*
API yang mengandung Pipeline dapat mengelola semua sumber daya terkait wilayah China (Shanghai).
acs:sae:cn-shanghai:*:application/test/*
sae:*
Anda dapat mengelola semua sumber daya terkait namespace dengan ID test, dan aplikasi dalam namespace tersebut di wilayah China (Shanghai).
{ "Version": "1", "Statement": [ { "Action": [ "sae:Query*", "sae:List*", "sae:Describe*", "sae:*Ingress*", "sae:*ChangeOrder*", "sae:*Pipeline*" ], "Resource": "acs:sae:cn-shanghai:*:*", "Effect": "Allow" }, { "Action": [ "sae:*" ], "Resource": [ "acs:sae:cn-shanghai:*:application/test/*" ], "Effect": "Allow" } ] }Skenario 2: Memberikan Izin Tingkat Aplikasi
Deskripsi skenario: Berikan izin baca untuk SAE dan izin tulis untuk aplikasi tertentu.
Pengguna RAM diizinkan untuk mengelola aplikasi.
Aplikasi
Namespace
ID Aplikasi
Aplikasi 1
test
0c815215-46a1-46a2-ba1e-102a740****
Aplikasi 2
default
e468a92b-1529-4d20-8ab1-9d1595dc****
Sumber Daya
Tindakan
Deskripsi
acs:sae:cn-shanghai:*:*
sae:Query*
API yang dimulai dengan Query dapat mengelola semua namespace dan sumber daya aplikasi terkait wilayah China (Shanghai).
sae:List*
API yang dimulai dengan List dapat mengelola semua namespace dan sumber daya aplikasi terkait wilayah China (Shanghai).
sae:Describe*
API yang dimulai dengan Describe dapat mengelola semua namespace dan sumber daya aplikasi terkait wilayah China (Shanghai).
sae:*Ingress*
API yang mengandung Ingress dapat mengelola semua namespace dan sumber daya aplikasi terkait wilayah China (Shanghai).
sae:*ChangeOrder*
API yang mengandung ChangeOrder dapat mengelola semua namespace dan sumber daya aplikasi terkait wilayah China (Shanghai).
sae:*Pipeline*
API yang mengandung Pipeline dapat mengelola semua namespace dan sumber daya aplikasi terkait wilayah China (Shanghai).
acs:sae:cn-shanghai:*:application/test/0c815215-46a1-46a2-ba1e-0102a740****
sae:*
Anda dapat mengelola semua sumber daya terkait namespace dengan ID test, dan Aplikasi 1 di wilayah China (Shanghai).
acs:sae:cn-shanghai:*:application/_default/e468a92b-1529-4d20-8ab1-9d1595dc****
Anda dapat mengelola semua sumber daya terkait namespace default, dan Aplikasi 2 di wilayah China (Shanghai).
{ "Version": "1", "Statement": [ { "Action": [ "sae:Query*", "sae:List*", "sae:Describe*", "sae:*Ingress*", "sae:*ChangeOrder*", "sae:*Pipeline*" ], "Resource": "acs:sae:cn-shanghai:*:*", "Effect": "Allow" }, { "Action": [ "sae:*" ], "Resource": [ "acs:sae:cn-shanghai:*:application/test/0c815215-46a1-46a2-ba1e-0102a740****", "acs:sae:cn-shanghai:*:application/_default/e468a92b-1529-4d20-8ab1-9d1595dc****" ], "Effect": "Allow" } ] }Skenario 3: Memberikan Izin untuk Mengakses Layanan Alibaba Cloud Terkait
Untuk mendukung kebutuhan tertentu, aplikasi di SAE mungkin perlu memanggil API layanan Alibaba Cloud lainnya, seperti ECS, SLB, dan ARMS, selama waktu proses. Otorisasi pengguna RAM untuk mengakses layanan terkait. Misalnya, Anda dapat memberikan pengguna RAM akses read-only ke ECS (AliyunECSReadOnlyAccess), SLB (AliyunSLBReadOnlyAccess), dan ARMS (AliyunARMSReadOnlyAccess).