全部產品
Search

搜尋本產品

    Enterprise Distributed Application Service:將EDAS內建的許可權管理切換為RAM許可權管理

    文件中心

    Enterprise Distributed Application Service:將EDAS內建的許可權管理切換為RAM許可權管理

    更新時間:Jun 30, 2024

    為了能夠用統一的帳號體系來管理阿里雲產品(包含EDAS)的許可權,EDAS已將內建的許可權管理遷移至RAM。本文介紹如何將EDAS內建的許可權管理切換為RAM的許可權管理,以及如何在RAM控制台為RAM使用者授予EDAS的權限原則。

    背景資訊

    權限原則語言的基本結構和文法,請參見權限原則文法和結構

    參數

    描述

    效力(Effect)

    授權效力包括兩種:允許(Allow)和拒絕(Deny)。

    操作(Action)

    操作是指對具體資源的操作。操作支援多值,取值為:所定義的雲端服務的操作名稱。格式為:<service-name>:<action-name>

    • service-name:阿里雲產品名稱。

    • action-name:相關的雲端服務的操作名稱。

    資源(Resource)

    資源是指被授權的具體對象。格式遵循阿里雲ARN(Aliyun Resource Name)的統一規範:acs:<service-name>:<region>:<account-id>:<relative-id>

    限制條件(Condition)(可選)

    限制條件是指授權生效的限制條件。限制條件由一個或多個條件子句構成。一個條件子句由條件關鍵字(Key)、條件操作類型(Operator)和條件值組成(Value)。

    步驟一:產生EDAS的權限原則

    您可以參見以下三種方式來查看或產生EDAS的權限原則。

    方式一:查看權限原則樣本庫

    無論您使用了RAM許可權還是EDAS內建許可權,都可以在權限原則樣本庫中來尋找您想授與權限策略。更多資訊,請參見權限原則樣本庫

    方式二:使用許可權助手產生權限原則

    本文僅介紹簡單的情境下如何操作。更多資訊,請參見使用EDAS許可權助手產生權限原則

    1. 登入EDAS控制台

    2. 在左側導覽列選擇系統管理 > 許可權助手

    3. 許可權助手頁面單擊建立權限原則

    4. 建立權限原則設定精靈中設定權限原則參數。

      1. 建立自訂權限原則頁簽配置權限原則參數,然後單擊下一步

        參數

        描述

        策略名稱稱

        自訂的策略名稱稱。

        備忘

        權限原則的備忘資訊。

        新增許可權語句

        1. 單擊新增許可權語句

        2. 加授權語句面板設定許可權效力操作與資源授權,然後單擊確認

          重要

          在添加權限原則時,同時只能選擇允許拒絕中的一種許可權效力。

        3. 建立自訂權限原則頁簽內的權限原則列表的操作列根據需求複製、編輯或刪除許可權。

      2. 策略預覽頁簽預覽權限原則,並在權限原則文字框的右上方單擊複製,然後在面板下方單擊完成

        控制檯面板將會提示新增策略授權成功,單擊返回列表查看可查看和管理建立的權限原則。

    5. 授權策略地區複製產生的授權策略。

    方式三:直接轉換EDAS內建許可權為RAM權限原則

    如果您已經使用EDAS內建許可權管理完成了帳號授權,可以在EDAS控制台直接將配置的許可權轉換為RAM權限原則。

    1. 登入EDAS控制台

    2. 在左側導覽列選擇系統管理 > 子帳號

    3. 子帳號頁面選擇添加了EDAS內建許可權的子帳號,在RAM鑒權列單擊產生RAM權限原則

    4. 在彈出的RAM權限原則對話方塊複製權限原則,然後單擊確定

    步驟二:建立權限原則

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 權限原則頁面,單擊建立權限原則

    4. 建立權限原則頁面,單擊指令碼編輯頁簽。

    5. 輸入權限原則內容,然後單擊繼續編輯基本資料

      說明

      策略內容文字框內輸入步驟一:產生EDAS的權限原則中產生的權限原則。

    6. 輸入權限原則名稱備忘

    7. 檢查並最佳化權限原則內容。

      • 基礎權限原則最佳化

        系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:

        • 刪除不必要的條件。

        • 刪除不必要的數組。

      • 可選:進階權限原則最佳化

        您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:

        • 拆分不相容操作的資源或條件。

        • 收縮資源到更小範圍。

        • 去重或合并語句。

    8. 單擊確定

    步驟三:建立RAM使用者並添加授權

    1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊建立使用者

    4. 建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。

      • 登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。

      • 顯示名稱:最多包含128個字元或漢字。

      • 標籤:單擊edit,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。

      說明

      單擊添加使用者,可以大量建立多個RAM使用者。

    5. 訪問方式地區,選擇訪問方式,然後設定對應參數。

      為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。

      • 控制台訪問

        如果RAM使用者代表人員,建議啟用控制台訪問,使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數:

        • 控制台登入密碼:選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼強度

        • 密碼重設策略:選擇RAM使用者在下次登入時是否需要重設密碼。

        • 多因素認證(MFA)策略:選擇是否為當前RAM使用者啟用MFA。啟用MFA後,主帳號還需要為RAM使用者綁定MFA裝置或RAM使用者自行綁定MFA裝置。更多資訊,請參見為RAM使用者綁定MFA裝置

      • OpenAPI調用訪問

        如果RAM使用者代表應用程式,建議啟用OpenAPI調用訪問,使用存取金鑰(AccessKey)訪問阿里雲。啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊,請參見建立AccessKey

        重要

        RAM使用者的AccessKey Secret只在建立時顯示,不支援查看,請妥善保管。

    6. 單擊確定

    7. 返回使用者頁面,在使用者列表中目標RAM使用者的操作列單擊添加許可權

    8. 添加許可權面板內設定許可權,然後單擊確定

      添加許可權

      參數

      描述

      授權範圍

      包含整個雲帳號指定資源群組。請根據實際需求選擇授權範圍。

      授權主體

      會自動填入當前RAM使用者的登入名稱稱。

      選擇許可權

      選擇自訂策略,然後在搜尋方塊內搜尋設定的權限原則名稱,在權限原則名稱地區單擊搜尋出來的策略名稱稱,即可選中策略。

    步驟四:在EDAS控制台將授權切換為RAM授權

    1. 登入EDAS控制台

    2. 在左側導覽列選擇系統管理 > 子帳號

    3. 子帳號頁面目標子帳號的RAM鑒權列單擊切換到RAM

      說明

      • 已經使用了RAM授權的子帳號,操作列的按鈕將會無法單擊。

      • 仍使用EDAS內建授權的子帳號,可以選擇切換到RAM授權,切換後將無法重新使用EDAS內建授權。

      切換到RAM授權時,EDAS會預先判斷該子帳號是否已經在RAM控制台授予了EDAS的許可權。

      • 如果已經完成了RAM授權,在彈窗中單擊確定,即可成功切換為RAM鑒權。

      • 若子帳號沒有在RAM控制台被授予EDAS許可權,將提示前往RAM控制台完成授權。