Serverless App Engine (SAE) menyediakan asisten izin untuk menyederhanakan konfigurasi kebijakan RAM bagi SAE. Topik ini menjelaskan cara menggunakan SAE permission assistant untuk membuat pernyataan kebijakan secara cepat, lalu menyelesaikan kebijakan tersebut di Konsol RAM.
Prasyarat
Informasi latar belakang
SAE permission assistant adalah alat yang menghasilkan kebijakan RAM. Alat ini memungkinkan Anda mengonfigurasi izin untuk SAE secara visual dengan granularitas hingga operasi baca dan tulis untuk aplikasi dan task. Asisten ini menghasilkan pernyataan kebijakan yang sesuai di SAE console untuk membantu Anda menghindari kesalahan yang dapat terjadi saat mengedit pernyataan kebijakan secara manual di Konsol RAM. Anda kemudian dapat membuat kebijakan kustom di Konsol RAM, mengganti konten kebijakan dengan pernyataan yang dihasilkan, lalu memberikan kebijakan tersebut kepada pengguna RAM yang memerlukan izin SAE.
Baik Akun Alibaba Cloud (akun utama) maupun pengguna RAM (sub-akun) dapat menggunakan permission assistant di SAE console untuk membuat draf kebijakan. Namun, Anda harus menerapkan kebijakan tersebut di Konsol RAM agar berlaku.
Langkah 1: Buat kebijakan di Konsol SAE
-
Di Konsol SAE, pilih di panel navigasi sebelah kiri. Pada halaman Permission Assistant, klik Create Policy.
-
Pada panel Create Policy, pada langkah wizard Policy Configuration, konfigurasikan parameter berikut lalu klik Next.
-
Masukkan Policy Name dan Note.
Parameter
Deskripsi
Policy Name
Nama kustom untuk kebijakan. Nama harus dimulai dengan huruf dan panjangnya maksimal 36 karakter. Nama dapat berisi huruf, angka, garis bawah (_), dan tanda hubung (-).
Note
Masukkan deskripsi untuk kebijakan.
-
Klik Add Statement. Pada panel Add Statement, konfigurasikan parameter berikut lalu klik OK.
Parameter
Deskripsi
Resource
Pilih dimensi resource dari daftar drop-down.
-
Region: Anda hanya dapat memilih satu wilayah.
-
Namespace: Anda hanya dapat memilih satu namespace.
-
Aplikasi atau Task: Anda dapat memilih satu atau beberapa aplikasi atau task.
Action
Pada kotak Optional Permissions, pilih izin yang ingin Anda berikan. Izin yang dipilih akan muncul di kotak Selected Permissions. Perhatikan hal berikut:
-
Kotak teks Search action mendukung pencarian fuzzy dan peka terhadap huruf besar/kecil.
-
Secara default, System Default Read Permissions dipilih di kotak Selected Permissions.
-
Aksi baca dan tulis saling terkait. Saat Anda memilih izin tulis, seperti , sistem secara otomatis memilih izin baca terkait.
-
Pada langkah wizard Policy Configuration, Anda dapat melihat pernyataan kebijakan yang telah ditambahkan serta melakukan operasi seperti View Permissions, Clone, Edit, atau Delete.
Pernyataan kebijakan ditampilkan dalam tabel dengan kolom Resource (termasuk region, namespace, dan aplikasi), Action, dan Operations.
Catatan-
Untuk mengatur izin bagi resource di beberapa namespace, tambahkan pernyataan kebijakan terpisah untuk setiap namespace.
-
Untuk menyalin pernyataan kebijakan yang sudah ada, klik Clone. Pada panel Clone, Anda dapat memodifikasi pernyataan tersebut untuk membuat yang baru.
-
-
Pada langkah wizard Preview Policy, tinjau pernyataan kebijakan yang dihasilkan, lalu klik OK.
Klik Copy untuk menyalin pernyataan kebijakan RAM. Anda akan menggunakan pernyataan ini di Langkah 2: Buat kebijakan RAM kustom.
Anda akan dikembalikan ke halaman Permission Assistant. Anda dapat melihat kebijakan yang baru dibuat serta melakukan operasi seperti View Permissions, Copy RAM Authorization Statement, Edit, atau Delete.
Penting-
Kebijakan yang dihasilkan oleh SAE permission assistant hanya berlaku untuk resource SAE dan dapat berisi maksimal 20 pernyataan.
-
Saat SAE merilis fitur baru, Anda mungkin perlu menghasilkan ulang pernyataan kebijakan RAM. Jika tidak, pengguna RAM dengan kebijakan yang ada mungkin tidak memiliki izin untuk fitur-fitur tersebut.
-
Langkah 2: Buat kebijakan RAM kustom
Saat membuat kebijakan kustom di Konsol RAM, Anda harus menggunakan pernyataan kebijakan yang dihasilkan di Langkah 1: Buat kebijakan di Konsol SAE.
-
Masuk ke Konsol RAM sebagai administrator RAM.
-
Di panel navigasi sebelah kiri, pilih > .
-
Pada halaman Policies, klik Create Policy.
-
Pada halaman Create Policy, klik tab JSON.
Editor JSON akan muncul dengan templat kebijakan default yang mencakup elemen
VersiondanStatement. ElemenStatementberisi elemenEffect,Action,Resource, danCondition. Anda harus menentukan aksi dan resource di elemenActiondanResource. -
Di editor JSON, tempel pernyataan kebijakan yang telah Anda salin dari Konsol SAE.
Untuk informasi lebih lanjut tentang sintaks dan struktur kebijakan, lihat Struktur dan sintaks kebijakan.
-
Klik Next: Edit Basic Information untuk mengoptimalkan konten kebijakan.
Fitur optimasi kebijakan advanced melakukan tugas-tugas berikut:
-
Memisahkan resource atau kondisi yang tidak kompatibel dengan aksi.
-
Mempersempit cakupan resource.
-
Menghapus duplikasi atau menggabungkan pernyataan.
-
-
Klik OK.
-
Tentukan Policy Name dan Note, lalu klik OK.
Langkah 3: Berikan izin kepada pengguna RAM
Setelah membuat kebijakan kustom, Anda harus memberikan izin kepada pengguna RAM. Bagian ini menjelaskan cara memberikan izin kepada pengguna RAM di halaman pengguna. Untuk informasi tentang metode lainnya, lihat Berikan izin kepada pengguna RAM.
-
Masuk ke Konsol RAM sebagai administrator RAM.
-
Di panel navigasi sebelah kiri, pilih Identities > Users.
-
Pada halaman Users, temukan pengguna RAM yang ingin Anda beri izin, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan mengklik Add Permissions di bagian bawah daftar pengguna untuk memberikan izin secara massal.
-
Di panel Add Permissions, berikan izin kepada pengguna RAM.
-
Pilih cakupan otorisasi.
-
Alibaba Cloud Account: Izin berlaku untuk Akun Alibaba Cloud saat ini.
-
Resource Group: Izin hanya berlaku untuk kelompok sumber daya tertentu.
Important
Agar otorisasi berbasis kelompok sumber daya berlaku, layanan cloud harus mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan yang kompatibel dengan Resource Group. Untuk contoh cara memberikan izin pada kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk memberikan izin kepada pengguna RAM guna mengelola Instance ECS tertentu.
-
-
Pilih principal.
Principal adalah pengguna RAM yang ingin Anda beri izin. Pengguna RAM saat ini dipilih secara default.
-
Pilih kebijakan.
Kebijakan mendefinisikan serangkaian izin. Anda dapat memilih beberapa kebijakan. Kebijakan diklasifikasikan menjadi jenis berikut:
-
Kebijakan sistem: Kebijakan yang dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan tetapi tidak dapat mengubah kebijakan sistem. Untuk informasi selengkapnya, lihat Layanan yang kompatibel dengan RAM.
Note
Sistem menandai kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Hindari memberikan izin ini kecuali benar-benar diperlukan.
-
Kebijakan kustom: Kebijakan yang dapat Anda buat dan kelola sendiri. Anda bertanggung jawab atas versi kebijakan tersebut dan dapat membuat, memperbarui, atau menghapus kebijakan. Untuk informasi selengkapnya, lihat Buat kebijakan kustom.
-
-
Klik OK.
-
-
Klik Complete.