如果系統策略無法滿足您的需求,您可以通過建立自訂策略實現精微調權限管理。
前提條件
建立自訂策略前,需要先瞭解權限原則語言的基本結構和文法,請參見權限原則文法和結構。
CADT自訂權限原則介紹
CADT為您提供三種常用自訂權限原則模板,您可以根據實際需要進行配置:
自訂權限原則 | 內容 | 配置樣本檔案 |
唯讀許可權 | 唯讀管理雲速搭CADT的許可權 | |
匯入許可權 | 雲速搭CADT資源探查及匯入資源的許可權 | |
系統管理權限 | 管理雲速搭CADT的許可權 |
樣本檔案僅添加了部分產品的許可權,您需要根據實際業務需求進行配置。
操作樣本
建立RAM使用者
建立CADT自訂權限原則
許可權驗證
唯讀許可權驗證
唯讀許可權:唯讀訪問CADT應用和阿里雲資源的許可權,例如在CADT查看應用、畫圖;查看ECS IP地址、主機名稱;RDS資料庫地址等資訊,用做日常開發測試工作。
作為測試,主帳號通過CADT部署一個簡單的ECS+EIP應用(cadt-test)。
請按照標籤順序依次點擊添加唯讀許可權(cadt-read-only)。
點擊概覽記錄登入地址,並登入cadt-user。
在CADT控制台我的應用程式頁面可以看到主帳號建立的應用cadt-test及其他全部應用。
按照標籤順序依次點擊查看資來源詳細資料,例如ECS:
可以建立應用、設計架構並進行參數配置,但沒有儲存應用、部署的許可權。
匯入許可權驗證
匯入許可權:支援對阿里雲上的資源進行探查、畫圖並建立應用;支援在CADT建立應用、資源配置、匯入已保有資源、資源校正、資源計價和查看報告,不支援部署資源。
通過主帳號移除RAM使用者(cadt-user)的唯讀許可權,並添加匯入許可權(cadt-import)。
在CADT的許可權說明:
具有資源探查許可權:
具有建立應用、參數配置、儲存為應用的許可權:
具有資源校正許可權:
具有計價、查看報告許可權:
沒有部署資源的許可權:
具有匯入已保有資源許可權:
系統管理權限驗證
系統管理權限:除具有匯入許可權外,還有部署資源許可權。為防止誤操作,降低資源風險,不可使用一鍵釋放功能。但為滿足日常營運需求,可以在架構圖中逐個刪除資源。
通過主帳號移除RAM使用者(cadt-user)其他許可權,並添加匯入許可權(cadt-deploy)。
除了匯入許可權的全部許可權外,還具有部署資源許可權。
沒有一鍵釋放全部資源的許可權。
具有在架構圖中逐個刪除資源的許可權。
添加待刪除標誌後,按照便簽順序依次點擊儲存和部署應用,根據提示完成資源的釋放:
