Serverless 應用引擎 SAE(Serverless App Engine)提供許可權助手功能,簡化SAE相關的RAM權限原則配置。本文介紹如何通過SAE許可權助手快速建立許可權語句,並在RAM控制台完成最終的權限原則配置。
前提條件
背景資訊
SAE許可權助手是一個產生RAM權限原則的工具,能夠協助您對SAE的許可權進行可視化配置,精確到應用、任務的讀寫操作,並在SAE控制台產生對應的許可權語句,避免因直接在RAM控制台手動編輯許可權語句而出現紕漏。然後,您可以在RAM控制台建立對應的自訂權限原則,將權限原則的策略內容修改為該許可權語句,並為需要該項SAE許可權的RAM使用者授予許可權。
阿里雲帳號(主帳號)和RAM使用者(子帳號)均可在SAE控制台通過許可權助手建立權限原則草稿,但該策略只有在部署到RAM控制台後,才具備實際的限制能力。
步驟一:在SAE控制台建立權限原則
在SAE控制台左側導覽列,選擇。然後在許可權助手頁面,單擊建立權限原則。
在建立權限原則面板的權限原則配置設定精靈,完成以下操作並單擊下一步。
輸入策略名稱稱和備忘。
配置項
說明
策略名稱稱
權限原則的自訂名稱。必須以字母開頭,允許數字、字母、底線(_)以及短劃線(-)組合,不超過36個字元。
備忘
權限原則的說明。
單擊新增許可權語句,在新增許可權語句面板完成以下操作並單擊確定。
配置項
說明
授權資源
在下拉式清單中依次選擇資源維度。
地區:支援單選。
命名空間:支援單選。
應用或任務:支援多選。
授權操作
在可選許可權複選框內選中需要授與權限,在已選許可權預覽框內查看已選許可權。授權操作的限制如下:
搜尋操作文字框支援模糊搜尋,區分英文字母大小寫。
已選許可權複選框預設顯示系統預設讀許可權。
讀寫操作具有聯動性,因此在選擇讀寫權限時,系統會自動判斷並幫您勾選相關的許可權。例如當您在寫入權限下選中時,系統會自動勾選與其相關的讀許可權。
您可以在權限原則配置設定精靈查看已添加的許可權語句,按需執行查看許可權、複製、編輯或刪除操作。
說明如果您需要對多個命名空間的資源進行使用權限設定,請新增多條許可權語句。
如果您需要複製現有的許可權語句或在其基礎上進行編輯新增,可以單擊複製,進入複製許可權語句面板,按需編輯並新增許可權語句。
在權限原則預覽設定精靈,檢查產生的許可權語句,然後單擊完成。
您可以單擊一鍵複製,複製的RAM授權語句將用於步驟二:在RAM控制台建立自訂權限原則。
控制檯面板將會返回許可權助手頁面,您可以查看建立的權限原則,並按需執行查看許可權、一鍵複製RAM授權語句、編輯或刪除操作。
重要通過SAE許可權助手產生的權限原則僅適用於操作SAE的資源,且不能超過20條。
當SAE上線新功能時,您需要重建RAM許可權語句,否則可能會導致原有權限原則下的RAM使用者不具備該新功能的許可權。
步驟二:在RAM控制台建立自訂權限原則
在RAM控制台建立自訂策略時,您需要將權限原則的內容修改為步驟一:在SAE控制台建立權限原則產生的許可權語句。
步驟三:在RAM控制台為RAM使用者添加授權
成功建立自訂權限原則後,您需要在RAM控制台為需要該項許可權的RAM使用者授權。本文以在使用者頁面為RAM使用者授權的方式為例,操作步驟如下所示。更多方式,請參見為RAM使用者授權。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
單擊確認新增授權。
單擊關閉。