雲速搭CADT原生支援阿里雲RAM存取控制和資源管理體系,通過許可權管理,您可以方便地實現對CADT及其應用和模板的許可權管控。
功能介紹
在雲速搭CADT許可權管理頁面,可以方便地實現建立使用者、建立資源群組、使用者授權及資源群組授權操作。
雲速搭CADT的許可權管理功能只支援主帳號。
建立使用者:通過建立新的RAM使用者並授權,RAM使用者便可以訪問相關資源。
建立資源群組:通過建立資源群組,可以實現根據業務部門、專案等維度進行雲資源的分組管理。
使用者授權:為RAM使用者授權後,RAM使用者可以訪問相應的阿里雲資源
資源群組授權:完成授權後,被授權的主體將獲得當前資源群組內資源的相應許可權。
接下來,我們以一個簡單的實踐操作向您介紹CADT許可權管理的應用情境和使用方法。
情境類比
假設在CADT中我們建立了兩個應用:app-test、app-dev,現在需要將這兩個應用分別授予對應的使用者進行操作,例如,授予開發人員(cadt-dev001)有且只擁有應用app-dev的操作許可權,授予測試人員(cadt-test001)有且只擁有應用app-test的操作許可權。
前提條件
為了完成上述操作環境,我們需要通過CADT提前建立好兩個應用app-test、app-dev,操作方法可以參見建立CADT應用,建立好的應用如下圖所示:
步驟一:建立使用者
首先需要建立兩個RAM使用者,分別代表開發人員(cadt-dev001)和測試人員(cadt-test001)。
(主帳號)登入雲速搭CADT管理主控台。
通過功能表列下的管理>許可權管理,進入許可權管理頁面。
說明雲速搭CADT許可權管理功能只面向主帳號開放。
在許可權管理頁面,單擊建立使用者。
按照標籤順序依次填寫建立開發人員(cadt-dev001),完成以下配置,並單擊確定。
以同樣方式建立測試人員(cadt-test001)。
兩個RAM使用者建立完成後如下圖所示:
步驟二:建立資源群組
本文建立兩個資源群組:開發環境(dev)和測試環境(test),分別對應開發人員和測試人員的作業環境,實現資源的隔離。
在CADT許可權管理頁面單擊建立資源群組。
按照標籤順序依次填寫建立開發環境(dev)資源群組,完成以下配置,單擊確定。
以同樣方式建立測試環境資源群組(test)。
完成後,在CADT許可權管理頁面可以看到新建立的兩個資源群組,如下圖所示:
步驟三:RAM使用者和資源群組授權
完成RAM使用者和資源群組建立後,接下來需要授予RAM使用者對特定資源群組中雲資源的操作許可權。
在CADT許可權管理頁面單擊使用者授權或資源群組授權均可。
以“使用者授權”為例:選定指定使用者,例如開發人員cadt-dev001,單擊添加許可權。
在添加許可權頁面,完成以下配置,並單擊確定。
授權範圍:帳號層級請在授權主體輸入對應的帳號,資源群組層級可以指定資源群組。
授權主體:sls-test@*****aliyun.com
權限原則:CADT系統策略介紹請參見CADT系統策略及使用方法介紹,如果系統權限原則不能滿足您的需求,可以通過建立CADT自訂權限原則實現精微調權限管理。
本樣本作為示範,授予 sls-test 對CADT的系統管理權限。
以同樣方式,完成測試人員cadt-test001的授權。
步驟四:CADT應用授權
完成RAM使用者和資源群組授權後,最後需要將CADT應用添加到對應的資源群組,這樣處於同一資源群組的使用者才有許可權操作對應的CADT應用。
在CADT許可權管理頁面找到對應的資源群組,例如開發環境資源群組(dev),單擊添加授權。
在添加授權頁面,按照標籤順序開啟我的應用程式選擇需要授權的應用或模板進行授權,這裡選擇應用app-dev,單擊授權。
完成授權後,可以看到如下圖所示頁面:
以同樣方式,將應用app-test添加到資源群組測試環境(test)中:
步驟五:結果驗證
完成以上操作後,接下來驗證開發人員(cadt-dev001)有且只擁有應用app-dev的操作許可權,測試人員(cadt-test001)有且只擁有應用app-test的操作許可權。
在主帳號RAM控制台的概覽頁面記錄使用者登入地址。
通過其他瀏覽器或無痕模式,開啟上一步記錄的使用者登入地址,輸入使用者名稱和密碼進行登入。例如登入開發人員(cadt-dev001):
登入CADT,可以看到當前開發人員(cadt-dev001)只有開發環境的許可權(符合驗證結果),並切換到開發環境。
開啟應用 > 我的應用程式頁面,可以看到當前開發人員(cadt-dev001)帳號下有且只能看到應用app-dev,驗證結果正確。
以同樣方式驗證測試人員(cadt-test001)帳號,驗證結果正確。
