Alibaba Cloud Service Mesh：為RAM使用者和RAM角色授權

授予RAM使用者和RAM角色系統策略

以下以授予AliyunASMReadOnlyAccess權限原則為例，介紹如何授予RAM使用者系統策略。關於RAM使用者授權和RAM角色授權的更多資訊，請參見為RAM使用者授權和為RAM角色授權。

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 使用者。

3. 在使用者頁面，單擊目標RAM使用者操作列的添加許可權。

   

   您也可以選中多個RAM使用者，單擊使用者列表下方的添加許可權，為RAM使用者大量授權。

4. 在新增授權面板，為RAM使用者添加許可權。

   1. 選擇資源範圍。

      • 帳號層級：許可權在當前阿里雲帳號內生效。

      • 資源群組層級：許可權在指定的資源群組內生效。

        重要

        指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。

   2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

   3. 在所有策略類型下單擊系統策略，在文字框中輸入AliyunASMReadOnlyAccess，然後單擊AliyunASMReadOnlyAccess。

      說明

      每次最多綁定5條策略，如需綁定更多策略，請分次操作。

   4. 單擊確認新增授權。

5. 單擊關閉。

授予RAM使用者和RAM角色自訂策略

如果您想對許可權進行細粒度控制，您可以自訂策略，然後授予RAM使用者和RAM角色自訂策略許可權。

建立授予訪問ASM執行個體的權限原則

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇許可權管理 > 權限原則。

3. 在權限原則頁面，單擊建立權限原則。

4. 在建立權限原則頁面，單擊指令碼編輯頁簽。

5. 輸入您的授權策略內容，然後單擊繼續編輯基本資料。

   通過改變Statement中的Action欄位，可以實現API的細粒度鑒權。本文以授予受限存取權限策略為例，受限存取權限策略包括除RBAC授權之外的Service Mesh的所有RAM許可權，擁有該許可權的RAM使用者不可以對其他使用者進行RBAC授權，但擁有除此之外的其他所有許可權。關於權限原則文法結構的詳情，請參見權限原則文法和結構。

   {
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "servicemesh:Add*",
                   "servicemesh:CRBatchDeletion",
                   "servicemesh:Create*",
                   "servicemesh:Delete*",
                   "servicemesh:Describe*",
                   "servicemesh:Enable*",
                   "servicemesh:Disable*",
                   "servicemesh:Get*",
                   "servicemesh:InvokeApiServer",
                   "servicemesh:List*",
                   "servicemesh:Modify*",
                   "servicemesh:Re*",
                   "servicemesh:Run*",
                   "servicemesh:Set*",
                   "servicemesh:Sync*",
                   "servicemesh:Update*",
                   "servicemesh:Upgrade*"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "log:ListLogStores",
                   "log:ListDashboard",
                   "log:GetDashboard",
                   "log:ListSavedSearch",  
                   "log:ListProject"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "log:GetLogStoreLogs",
               "Resource": "acs:log:*:*:project/*/logstore/audit-*"
           },
           {
               "Effect": "Allow",
               "Action": "log:GetLogStoreLogs",
               "Resource": "acs:log:*:*:project/*/logstore/istio-*"
           },
           {
               "Action": "ram:CreateServiceLinkedRole",
               "Resource": "*",
               "Effect": "Allow",
               "Condition": {
                   "StringEquals": {
                       "ram:ServiceName": "servicemesh.aliyuncs.com"
                   }
               }
           }
       ],
       "Version": "1"
   }

6. 在基本資料地區輸入策略名稱稱，本文設定為ASMPolicy1，然後單擊確定。

授予RAM使用者和RAM角色權限原則

本文以授予RAM使用者權限為例，關於RAM角色許可權的具體操作，請參見為RAM角色授權。

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 使用者。

3. 在使用者頁面，單擊目標RAM使用者操作列的添加許可權。

   

   您也可以選中多個RAM使用者，單擊使用者列表下方的添加許可權，為RAM使用者大量授權。

4. 在添加許可權對話方塊，設定授權範圍為整個雲帳號，系統會自動填入當前的RAM使用者為授權主體，在選擇許可權下單擊自訂策略，輸入建立的權限原則名稱ASMPolicy1，單擊ASMPolicy1，然後單擊確定。

自訂策略情境樣本

情境一：授予單個網格執行個體的系統管理權限

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "servicemesh:*",
      "Resource": "acs:servicemesh:*:*:servicemesh/<ServicemeshId>"
    },
    {
      "Effect": "Allow",
      "Action": "servicemesh:DescribeServiceMeshes",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "log:GetLogStoreLogs",
      "Resource": "acs:log:*:*:project/*/logstore/audit-<ServicemeshId>"
    },
    {
      "Effect": "Allow",
      "Action": "log:GetLogStoreLogs",
      "Resource": "acs:log:*:*:project/*/logstore/istio-<ServicemeshId>"
    }
  ],
  "Version": "1"
}

情境二：授予使用ASM控制台管理Istio資源的讀寫權限

ASM預設提供的AliyunASMReadOnlyAccess系統策略可以授予RAM使用者或RAM角色唯讀管理阿里雲Service MeshASM的許可權，但被授予此許可權的RAM使用者或RAM角色無法管理網格中的Istio資源。

您可以使用以下指令碼建立擁有Istio資源讀寫權限的策略，授予RAM使用者或RAM角色該權限原則後，RAM使用者或RAM角色可以正常使用ASM控制台管理網格中的Istio資源，同時無法對網格的其它部分（例如功能設定等）進行任何變更。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicemesh:List*",
                "servicemesh:Describe*",
                "servicemesh:Get*",
                "servicemesh:InvokeApiServer"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:ListLogStores",
                "log:ListDashboard",
                "log:GetDashboard",
                "log:ListSavedSearch"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "log:GetLogStoreLogs",
            "Resource": "acs:log:*:*:project/*/logstore/audit-*"
        }
    ],
    "Version": "1"
}

情境三：授予對其它使用者或角色進行RBAC授權的許可權

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicemesh:DescribeUserPermissions",
                "servicemesh:GrantUserPermissions",
                "servicemesh:DescribeServiceMeshes",
                "servicemesh:DescribeUsersWithPermissions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ims:ListUserBasicInfos",
            "Resource": "*"
        }
    ],
    "Version": "1"
}