全部產品
Search
文件中心

Enterprise Distributed Application Service:使用EDAS許可權助手產生權限原則

更新時間:Jun 30, 2024

EDAS許可權助手是一個RAM權限原則的產生工具,用於協助您在RAM中快速建立EDAS相關的權限原則,以便儘快將EDAS內建的子帳號的許可權管理遷移到RAM使用者的許可權管理。

查看EDAS系統權限原則模板

在EDAS控制台的許可權助手頁面,內建了8種預設的權限原則模板。您可以根據要遷移的內建子帳號的功能,複製對應的系統權限原則,然後登入RAM控制台授權給對應的RAM使用者,詳情請參見將EDAS內建的許可權管理切換為RAM許可權管理

  1. 登入EDAS控制台

  2. 在左側導覽列選擇系統管理 > 許可權助手

  3. 許可權助手頁面中查看EDAS提供的系統權限原則模板。

    策略類型系統策略,表示該權限原則為EDAS提供的權限原則模板,您可以根據實際需求執行以下操作:

    • 在策略最右側單擊複製,進入建立權限原則面板,根據您的實際需求編輯、建立一個自訂權限原則。

    • 在策略最右側單擊查看詳情,進入查看詳情對話方塊,單擊複製,然後登入RAM控制台,在建立自訂權限原則時使用,並授權給對應的RAM使用者。具體操作,詳情請參見將EDAS內建的許可權管理切換為RAM許可權管理

EDAS內建的8種系統原則範本的詳細介紹請參見EDAS系統原則範本介紹

建立自訂權限原則模板

除了內建的系統原則範本外,你還可以通過許可權助手建立自訂原則範本。下面以一個具體的樣本,來介紹如何產生自訂的權限原則模板。

需要為某個RAM使用者配置以下許可權:

  • 在華北2(北京)地區下,查看微服務空間test的許可權。

  • 在華北2(北京)地區下,查看微服務空間test下所有叢集的許可權。

  • 在微服務空間test下,除建立應用外的其它所有應用相關的操作許可權。

  1. 登入EDAS控制台

  2. 在左側導覽列選擇系統管理 > 許可權助手

  3. 許可權助手頁面單擊建立權限原則

  4. 建立權限原則設定精靈的建立自訂權限原則頁簽中設定權限原則的策略名稱稱備忘

  5. 添加許可權語句。

    重要
    • 在新增許可權語句時,只能選擇一種類型(允許或拒絕)的許可權效力。

    • 您可以為一個權限原則建立多個許可權語句,當某個許可權的許可權效力在不同許可權語句中被設定為允許拒絕時,遵循拒絕優先原則。

    1. 建立自訂權限原則頁簽中單擊新增許可權語句,在加授權語句面板中,將查看微服務空間test、查看微服務空間test下的所有叢集,以及操作微服務空間test下所有應用的許可權效力設定為允許,然後單擊確認

      1. 許可權效力下方選擇允許

      2. 操作與資源授權左側的許可權列表中選擇命名空間 > 查看命名空間,在右側的資源清單中選擇華北2(北京)test查看命名空間

      3. 操作與資源授權左側的許可權列表中選擇叢集 > 查看叢集,在右側的資源清單中選擇華北2(北京)test全部叢集查看叢集

      4. 操作與資源授權左側的許可權列表中選擇應用(該操作會選中應用下的所有許可權),在右側的資源清單中選擇華北2(北京)test應用許可權

    2. 建立自訂權限原則頁簽中單擊新增許可權語句,在加授權語句面板中,將微服務空間test下建立應用的許可權效力設定為拒絕,然後單擊確認

      1. 許可權效力下方選擇拒絕

      2. 操作與資源授權左側的許可權列表中選擇應用 > 建立應用,在右側的資源清單中選擇華北2(北京)test

      加授權語句-拒絕建立應用

  6. 策略預覽頁簽預覽許可權,然後單擊完成

    控制檯面板將會提示新增策略授權成功,單擊返回列表查看可返回許可權助手頁面,查看建立的權限原則模板。

    在策略最右側單擊查看詳情,進入查看詳情對話方塊,單擊複製,然後登入RAM控制台,在建立自訂權限原則時使用,並授權給對應的RAM使用者。具體操作,詳情請參見將EDAS內建的許可權管理切換為RAM許可權管理

EDAS系統原則範本介紹

超級管理員

超級管理員擁有EDAS的所有許可權,其許可權範圍等同於主帳號,在非必要時不推薦使用,請授予子帳號更細粒度的權限原則。超級管理員擁有的許可權如下:

  • 微服務空間相關的所有許可權

  • 叢集相關的所有許可權

  • 應用相關的所有許可權

  • 微服務相關的所有許可權

  • 管理配置相關的所有許可權

其等效的RAM權限原則為:

{
    "Version": "1",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
              "edas:ManageSystem",
            "edas:ManageOperation",
            "edas:ReadOperationLog"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      }
    ]
}

應用管理員

應用管理員擁有對應用操作的所有許可權,擁有的許可權如下:

  • 應用相關的所有許可權

  • 微服務相關的所有許可權

  • 叢集的所有許可權

其等效的RAM權限原則為:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

應用營運人員

應用營運員通常負責應用的營運,相比於應用管理員,應用營運員無法建立或刪除應用,只能對現有的應用進行營運。擁有的許可權如下:

  • 除了應用建立外的所有應用相關許可權

  • 微服務相關的所有許可權

  • 系統營運許可權(edas:ManageOperation)

其等效的RAM權限原則為:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ManageOperation"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      },
        {
        "Effect": "Deny",
        "Action": [
          "edas:CreateApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      }
    ]
}

應用查看人員

應用查看人員可以查看所有的應用資訊。擁有的許可權如下:

  • 應用的查看許可權

  • 微服務的查看許可權

其等效的RAM權限原則為:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadService"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      }
    ]
}

資源管理員

資源管理員擁有微服務空間和叢集的所有許可權,它不負責應用的建立維護等,它只關心在EDAS上的資源管理。比如微服務空間的維護、管理ECS叢集內的ECS資源等。擁有的許可權如下:

  • 微服務空間相關的所有許可權

  • 叢集相關的所有許可權

其等效的RAM權限原則為:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

資源營運人員

相比於資源管理員,資源營運人員無法建立微服務空間和叢集,僅能對當前的資源進行管理。擁有的許可權如下:

  • 除微服務空間建立外的所有微服務空間相關許可權

  • 除建立叢集外的所有叢集相關許可權

其等效的RAM權限原則為:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Deny",
        "Action": [
          "edas:CreateNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Deny",
        "Action": [
          "edas:CreateCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

資源查看人員

資源查看人員只可以對微服務空間和叢集進行查看。擁有的許可權如下:

  • 微服務空間的查看許可權

  • 叢集的查看許可權

其等效的RAM權限原則為:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

EDAS唯讀許可權

EDAS唯讀許可權擁有EDAS上所有資源的查看許可權,擁有的許可權如下:

  • 微服務空間的讀許可權

  • 叢集的讀許可權

  • 應用的讀許可權

  • 微服務的讀許可權

  • 配置的讀許可權

  • 動作記錄的讀許可權

其等效的RAM權限原則為:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadService"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadOperationLog"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      }
    ]
}