Membuat izin menggunakan asisten izin SAE dan memberikannya kepada pengguna RAM - Serverless App Engine

Serverless App Engine (SAE) menyediakan fitur Asisten Izin yang dirancang untuk menyederhanakan pengaturan kebijakan RAM terkait SAE. Dokumen ini menjelaskan cara menghasilkan pernyataan kebijakan dengan cepat menggunakan Asisten Izin SAE dan menyelesaikan konfigurasi kebijakan di konsol RAM.

Prasyarat

Buat pengguna RAM.

Informasi latar belakang

SAE Asisten Izin adalah alat yang membantu membuat kebijakan RAM. Alat ini memungkinkan Anda memvisualisasikan dan mengonfigurasi izin SAE secara presisi untuk operasi aplikasi dan tugas, serta menghasilkan pernyataan kebijakan yang diperlukan di dalam konsol SAE. Metode ini membantu mencegah kesalahan yang dapat timbul dari pengeditan manual pernyataan kebijakan di konsol RAM. Setelah itu, Anda dapat membuat kebijakan kustom di konsol RAM, memperbarui dokumen kebijakan dengan pernyataan yang dihasilkan, dan menetapkan izin yang sesuai kepada pengguna RAM yang memerlukan akses ke SAE.

Baik akun Alibaba Cloud (akun utama) maupun pengguna RAM (sub-akun) dapat menggunakan Asisten Izin SAE di konsol untuk membuat draf kebijakan. Namun, kebijakan tersebut hanya efektif setelah diterapkan di konsol RAM.

Langkah 1: Buat kebijakan di konsol SAE

Di panel navigasi sisi kiri konsol SAE, pilih Enterprise Features > Permission Management. Kemudian, di halaman Permission Assistant, klik Create Policy.

Di panel Create Policy pada wizard Policy Configuration, selesaikan langkah-langkah berikut dan klik Next.

Masukkan Policy Name dan Description.

Item Konfigurasi	Deskripsi
Policy Name	Nama kustom kebijakan. Harus dimulai dengan huruf dan dapat berisi angka, huruf, garis bawah (_), dan tanda hubung (-), tidak lebih dari 36 karakter.
Description	Deskripsi kebijakan.

Klik Add Policy Statement. Di panel Add Policy Statement, selesaikan langkah-langkah berikut dan klik Confirm.

Item Konfigurasi

Deskripsi

Authorized Resource

Pilih dimensi sumber daya dari daftar drop-down.

Wilayah: Mendukung pemilihan tunggal.
Namespace: Mendukung pemilihan tunggal.
Aplikasi atau Tugas: Mendukung pemilihan ganda.

Authorized Operation

Pilih izin yang akan diberikan di kotak centang Optional Permissions dan lihat izin yang dipilih di kotak pratinjau Selected Permissions. Batasan operasi resmi adalah sebagai berikut:

Kotak teks Search Operation mendukung pencarian kabur dan peka huruf besar/kecil.
Kotak centang Selected Permissions menampilkan System Default Read Permissions secara default.
Operasi baca dan tulis bersifat interaktif. Oleh karena itu, ketika memilih izin baca dan tulis, sistem secara otomatis menentukan dan memilih izin terkait untuk Anda. Misalnya, ketika Anda memilih Application > Publish Change di bawah izin tulis, sistem secara otomatis memilih izin baca terkait.

Anda dapat melihat pernyataan kebijakan yang ditambahkan di wizard Policy Configuration dan melakukan operasi seperti View Permissions, Clone, Edit, atau Delete sesuai kebutuhan.

Catatan

Jika Anda perlu menetapkan izin untuk sumber daya di beberapa namespace, tambahkan beberapa pernyataan kebijakan.
Jika Anda perlu menyalin pernyataan kebijakan yang ada atau mengedit dan menambahkan yang baru berdasarkan mereka, klik Clone untuk masuk ke panel Clone Pernyataan Kebijakan, edit sesuai kebutuhan, dan tambahkan pernyataan kebijakan.

Di wizard Policy Preview, tinjau pernyataan kebijakan yang dihasilkan dan klik Complete.

Anda dapat mengklik One-click Copy. Pernyataan otorisasi RAM yang disalin akan digunakan di Langkah 2: Buat Kebijakan Kustom di Konsol RAM.
Panel konsol akan kembali ke halaman Permission Assistant, di mana Anda dapat melihat kebijakan yang baru dibuat dan melakukan operasi seperti View Permissions, One-click Copy RAM Authorization Statement, Edit, atau Delete sesuai kebutuhan.
Penting
- Kebijakan yang dibuat oleh Asisten Izin SAE hanya berlaku untuk sumber daya SAE dan dibatasi maksimal 20 pernyataan.
- Ketika SAE memperkenalkan fitur baru, Anda harus menghasilkan ulang pernyataan kebijakan RAM untuk memastikan bahwa pengguna RAM di bawah kebijakan yang ada memiliki izin untuk fitur baru tersebut.

Langkah 2: Buat kebijakan kustom di konsol RAM

Saat membuat kebijakan kustom di konsol RAM, modifikasi dokumen kebijakan untuk memasukkan pernyataan kebijakan yang dihasilkan di Langkah 1: Buat Kebijakan di Konsol SAE.

Masuk ke konsol RAM sebagai pengguna RAM yang memiliki hak administratif.
Di panel navigasi sisi kiri, pilih Permissions > Policies.
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON.
Masukkan isi kebijakan.
Untuk informasi lebih lanjut tentang sintaks dan struktur kebijakan RAM, lihat Struktur dan sintaks kebijakan.
Klik Optimize di bagian atas. Di pesan Optimalkan, klik Perform untuk mengoptimalkan kebijakan.
Sistem melakukan operasi berikut selama optimasi tingkat lanjut:
- Pisahkan sumber daya atau kondisi yang tidak kompatibel dengan tindakan.
- Persempit sumber daya.
- Hapus duplikat atau gabungkan pernyataan kebijakan.
Di halaman Create Policy, klik OK.
Di kotak dialog Create Policy, konfigurasikan parameter Name dan Description dan klik OK.

Langkah 3: Berikan izin kepada pengguna RAM di konsol RAM

Setelah berhasil membuat kebijakan kustom, berikan izin kepada pengguna RAM yang memerlukannya di konsol RAM. Bagian ini menjelaskan cara memberikan izin kepada pengguna RAM di halaman Pengguna. Untuk metode lainnya, lihat Berikan Izin kepada Pengguna RAM.

Masuk ke konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
1. Konfigurasikan parameter Resource Scope.
  - Account: Otorisasi berlaku pada akun Alibaba Cloud saat ini.
  - ResourceGroup: Otorisasi berlaku pada grup sumber daya tertentu.
    Penting
    Jika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan grup sumber daya untuk memberikan izin kepada pengguna RAM agar dapat mengelola instance ECS tertentu.
2. Konfigurasikan parameter Principal.
  Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.
3. Konfigurasikan parameter Kebijakan.
  Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.
  - Kebijakan sistem: kebijakan yang dibuat oleh Alibaba Cloud. Anda dapat menggunakannya tetapi tidak dapat memodifikasinya. Pembaruan versi kebijakan dipertahankan oleh Alibaba Cloud. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan RAM.
    Catatan
    Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi, seperti AdministratorAccess dan AliyunRAMFullAccess. Kami merekomendasikan agar Anda tidak memberikan izin yang tidak perlu dengan melampirkan kebijakan berisiko tinggi.
  - Kebijakan kustom: Anda dapat mengelola dan memperbarui kebijakan kustom berdasarkan kebutuhan bisnis Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.
4. Klik Grant permissions.
Klik Close.