本文介紹如何對 RAM 帳號進行應用層級的存取控制。
前提條件
已經註冊了阿里雲帳號。如還未註冊,請先完成 帳號註冊。
已經建立了 RAM 賬戶。如還未建立,請先完成 建立 RAM 使用者。
操作步驟
為 RAM 使用者添加 mPaaS 控制台存取權限。
使用阿里雲帳號登入 RAM 控制台。
在左側導覽列的 身份管理 菜單下,單擊 使用者。
選擇需要登入 mPaaS 控制台的 RAM 賬戶,單擊 添加許可權。
在 添加許可權 頁面,搜尋
AliyunMPAASFullAccess許可權,單擊許可權確認選擇後,單擊 確定。至此,您已完成為 RAM 使用者添加 mPaaS 控制台存取權限,該 RAM 使用者能夠訪問主帳號建立的所有應用。如您不需要對 RAM 使用者進行存取控制,可以跳過以下步驟。
為 RAM 使用者添加資源隔離策略。
使用阿里雲帳號登入 RAM 控制台。
在左側導覽列的許可權管理菜單下,單擊 權限原則。
單擊 建立權限原則。
配置模式選擇 指令碼編輯。
說明mPaaS 目前不支援可視化配置。
編輯策略內容。您可以直接使用以下 訪問指定應用的 RAM 規則 和 訪問全部 mPaaS 應用的 RAM 規則 的樣本。在使用訪問指定應用的 RAM 規則時,您需要將規則中的 App ID 替換為待指定應用的 App ID。需要指定多個應用時,應用的 App ID 以(,)分隔。
訪問指定應用的 RAM 規則:
{ "Version": "1", "Statement": [ { "Action": [ "mpaas:FilterApp" ], "Resource": "*", "Effect": "Deny", "Condition": { "StringNotEquals": { "acs:appid": [ "ONEXCBAD96A290957", "..." ] } } }, { "Action": [ "mpaas:*" ], "Resource": "*", "Effect": "Allow" } ] }訪問全部應用的 RAM 規則:
{ "Version": "1", "Statement": [ { "Action": [ "mpaas:*" ], "Resource": "*", "Effect": "Allow" } ] }
單擊 下一步:繼續編輯基本資料。
輸入策略名稱稱和備忘,然後單擊 確定。
在左側導覽列的 身份管理 菜單下,單擊 使用者。
選擇需要登入 mPaaS 控制台的 RAM 帳號,單擊 添加許可權。
在 添加許可權 頁面,搜尋剛添加的自訂策略許可權,單擊許可權確認選擇後,單擊 確定。至此,您已完成為 RAM 使用者添加資源隔離策略。