列表鑒權功能預設開啟,當RAM使用者登入EDAS對相關資源進行List操作時,系統將進行RAM鑒權並只返回具有相關許可權的資源訪問結果。
背景資訊
涉及微服務空間列表頁、叢集列表頁、應用列表頁的所有列表操作,例如:
建立應用時,選擇微服務空間和叢集時的相關列表操作。
建立叢集時,選擇微服務空間的相關列表操作。
查看微服務時,選擇微服務空間的相關列表操作。
任務調度頁面,選擇微服務空間的相關列表操作。
列表鑒權用到的RAM Policy Action如下:
範圍 | 許可權 |
微服務空間 | edas:ReadNamespace |
叢集 | edas:ReadCluster |
應用 | edas:ReadApplication |
只要擁有相關資源讀許可權的Action,即可在列表頁看到該資源。
使用建議
推薦您使用微服務空間-叢集-應用三者統一授權的方式進行資源管理。使用時有以下幾點建議:
當您授權應用的讀許可權時,建議同時授予該應用所在叢集、微服務空間的讀許可權。
當您授予叢集的讀許可權時,建議同時授予該叢集所在微服務空間的讀許可權。
考慮到RAM Policy有長度限制,建議您使用萬用字元授權,例如藉助EDAS許可權助手來配置某微服務空間下所有應用的操作許可權。具體操作,請參見使用EDAS許可權助手產生權限原則。
當您的資源數較多時,建議您使用資源群組來管理您的資源。具體操作,請參見藉助資源群組進行許可權管理。
說明資源群組目前僅覆蓋了應用和叢集,微服務空間的相關許可權依然需要在RAM控制台配置。
關閉列表鑒權
列表鑒權預設開啟。可以通過頁面的切換列表鑒權按鈕進行關閉。
登入EDAS控制台。
在EDAS控制台的菜單內,在頁面右上方單擊切換列表鑒權。
在彈出的對話方塊中單擊不鑒權,再單擊確認完成關閉。
說明關閉鑒權操作有延遲,切換後請等待1分鐘,然後再次重新整理介面可查看是否生效。
問題處理
當您遇到下述問題時,可根據指導進行處理。
問題一:如果某個應用AppX屬於微服務空間nX,RAM使用者subAccount擁有AppX的讀(Read)許可權,但是沒有微服務空間nX的Read許可權,那在應用列表頁能夠找到該應用嗎?
答:可以。在應用列表頁,微服務空間選擇所有微服務空間,即可看到該應用。
問題二:選擇關閉了列表鑒權,為什麼沒有成功關閉?
答:關閉操作大約有1分鐘的延遲。當您關閉了頁面之後,請1分鐘後再檢查是否成功關閉。
問題三:列表鑒權關閉後,怎麼打不開某些資源的詳情頁了?
答:列表鑒權關閉,並不影響原來的資源鑒權邏輯。列表鑒權關閉後,資源原來的鑒權邏輯依然存在,若子帳號沒有相關的許可權,依然會被限制訪問。