RAM存取控制

更新時間:
Copy as MD

在協同使用資源的情境下,根據實際的職責許可權情況,您可以建立多個RAM使用者並為其授予不同的許可權,實現不同RAM使用者可以分權管理不同的資源,從而提高管理效率,降低資訊泄露風險。本文介紹如何建立RAM使用者並授予特定權限原則,從而控制對Prometheus執行個體的訪問。

前提條件

image

  • 已開通Application Real-Time Monitoring Service (ARMS)。具體操作,請參見開通ARMS

  • 在建立自訂授權策略時,您需要瞭解授權策略語言的基本結構和文法。更多資訊,請參見權限原則基本元素

步驟一:為RAM使用者添加系統權限原則

該步驟是為了讓RAM使用者具備登入Prometheus控制台的許可權。

  1. 使用Resource Access Management員登入RAM控制台。

  2. 在左側導覽列,選擇身份管理 > 使用者。
  3. 用户頁面,單擊目標RAM使用者操作列的添加权限

  4. 新增授權頁面,進行如下配置。

    參數

    說明

    資源範圍

    選擇賬號級別

    授权主体

    指定授權主體,即需要添加許可權的RAM使用者。

    权限策略

    選中AliyunARMSPrometheusAccessAuth

  5. 單擊確認新增授權,單擊關閉

步驟二:建立自訂權限原則

  1. 使用Resource Access Management員登入RAM控制台。

  2. 在左側導覽列,選擇权限管理 > 权限策略

  3. 权限策略頁面,單擊创建权限策略

  4. 创建权限策略頁面,單擊脚本编辑頁簽,在策略文檔中編寫您的授權策略內容,策略內容參考如下樣本:華東1(杭州)地區資源類型為Prometheus執行個體的各操作許可權。

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "arms:List*",
            "arms:Get*",
            "arms:Update*",
            "arms:Exe*",
            "arms:Create*",
            "arms:Del*",
            "arms:Add*",
            "arms:Check*",
            "arms:Delete*",
            "arms:Restart*",
            "arms:HealthCheck*",
            "arms:BindPrometheus*",
            "arms:install*"
          ],
          "Resource": "acs:arms:cn-hangzhou:*:prometheus/*"
        }
      ]
    }
  5. 單擊确定,輸入權限原則名称备注

  6. 單擊确定

步驟三:為RAM使用者添加自訂權限原則

  1. 使用Resource Access Management員登入RAM控制台。

  2. 在左側導覽列,選擇身份管理 > 使用者。
  3. 用户頁面,單擊目標RAM使用者操作列的添加权限

  4. 在彈出的添加权限頁面,根據下表說明為RAM使用者添加許可權。

    參數

    說明

    資源範圍

    選擇资源组级别,許可權在指定的資源群組內生效。

    授权主体

    指定授權主體,即需要添加許可權的RAM使用者。

    权限策略

    您可以根據需要選擇步驟二中自訂的權限原則

  5. 單擊確認新增授權,然後單擊關閉

步驟四:許可權驗證

  1. RAM角色添加權限原則後,您可以使用RAM角色登入ARMS控制台驗證。具體操作,請參見管理RAM使用者登入設定

  2. 進入控制台後,選擇Prometheus监控,單擊实例列表

  3. 实例列表頁面,單擊image查看被授權資源群組的資源清單。

    image

    說明

    對於未授權的資源群組,在查看時會提示沒有許可權,單擊關閉即可。

    image

相關操作

  • 推薦使用資源群組通過上述方式完成對Prometheus資源的精細粒度分權。

  • 如果您在實際使用過程中,同時需要通過標籤來完成分權,可以修改步驟二的自訂策略,添加Condition來完成,如下權限原則所示為具備擁有指定標籤的Prometheus執行個體的許可權,具體配置時請將tagkeytagvalue替換為實際值。

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "arms:List*",
            "arms:Get*",
            "arms:Update*",
            "arms:Exe*",
            "arms:Create*",
            "arms:Del*",
            "arms:Add*",
            "arms:Check*",
            "arms:Delete*",
            "arms:Restart*",
            "arms:HealthCheck*",
            "arms:BindPrometheus*",
            "arms:install*"
          ],
          "Resource": "acs:arms:*:*:prometheus/*",
          "Condition": {
            "StringEquals": {
               "acs:RequestTag/tagkey": [
                "tagvalue"
              ]
            }
          }
        }
      ]
    }
  • 如果您通過標籤完成分權,在控制台的操作順序如下:

  1. 在首次進入Prometheus執行個體列表時,會提示許可權不足。

    說明

    原因是未選擇具體的標籤,鑒權不通過。

  2. 選擇具體的標籤後,便可以查看实例列表

    此處選擇的標籤需要和自訂權限原則中定義的標籤匹配。

    image