如果RAM使用者需要使用EAS相關服務,則阿里雲帳號需要為該RAM使用者授權。本文介紹如何為RAM使用者授權。
背景資訊
EAS提供以下三種授權方式,您可以結合業務需要進行選擇:
EAS提供系統策略AliyunPAIEASFullAccess,包含了EAS的系統管理權限。為RAM使用者授予該許可權後,RAM使用者即可擁有使用EAS功能的完整許可權。
EAS提供系統策略AliyunPAIEASReadOnlyAccess,包含唯讀許可權。為RAM使用者授予該許可權後,RAM使用者即可查詢、瀏覽已部署的EAS服務。
如果上述提供的兩種系統策略不能滿足您的需求,可以通過建立自訂權限原則的方式為RAM使用者進行精細化授權。例如設定查詢、修改已部署服務或專屬資源群組的許可權。
為RAM使用者授予EAS的系統管理權限
為RAM使用者授予EAS的系統管理權限後,RAM使用者即可擁有使用EAS功能的完整許可權。
為RAM使用者授予EAS的唯讀許可權
為RAM使用者授予EAS的唯讀許可權後,RAM使用者即可查詢、瀏覽已部署的EAS服務。
為RAM使用者進行精細化授權
如果需要詳細的為RAM使用者佈建查詢、修改已部署服務或專屬資源群組的許可權,則需要按照如下步驟為RAM使用者進行精細化授權。
登入RAM控制台。
建立自訂權限原則,具體操作請參見通過指令碼編輯模式建立自訂權限原則。
重要請根據RAM使用者需要使用的許可權,謹慎定義權限原則。
例如,配置指令碼內容為如下內容。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "eas:CreateInstance", "Resource": "*" }, { "Effect": "Allow", "Action": [ "eas:DescribeService", "eas:DeleteService", "eas:UpdateService", "eas:UpdateServiceVersion" ], "Resource": [ "acs:eas:<region>:<uid>:service/eas-m-xxx1",//樣本,請參考下文的權限原則說明進行修改。 "acs:eas:<region>:<uid>:service/eas-m-xxx2" ], } ] }
指令碼內容中的Action和Resource取值詳情,請參見下文的權限原則說明。
為RAM使用者授權,具體操作,請參見為RAM使用者授權。
其中:
資源範圍:選擇帳號層級。
權限原則:選擇步驟2建立的自訂策略。
權限原則說明
權限原則中主要包含Action和Resource兩部分,其中Action表示要執行的操作,Resource表示要操作的對象。關於Action和Resource的取值如下所示:
Action
類別
Action
描述
服務相關
eas:CreateService
建立模型服務
eas:ListServices
查看模型服務列表
eas:DescribeService
查看模型服務詳情
eas:DeleteService
刪除模型服務
eas:DeleteServiceLabel
刪除模型服務標籤
eas:ListServiceInstances
查看模型服務執行個體資訊
eas:DeleteServiceInstances
重啟模型服務執行個體
eas:UpdateService
更新模型服務、增加版本
eas:UpdateServiceVersion
切換模型服務版本
eas:StartService
啟動模型服務
eas:StopService
停止模型服務
eas:UpdateService
更新模型服務
eas:UpdateServiceLabel
更新模型服務標籤
eas:RestartService
重啟模型服務
eas:CreateServiceAutoScaler
開啟模型服務自動擴縮容
eas:CreateServiceCronScaler
開啟模型服務定時擴縮容
eas:DeleteServiceAutoScaler
關閉模型服務自動擴縮容
eas:DeleteServiceCronScaler
關閉模型服務定時擴縮容
eas:DescribeServiceAutoScaler
查看模型服務自動擴縮容狀態
eas:DescribeServiceCronScaler
查看模型服務定時擴縮容資訊
eas:UpdateServiceAutoScaler
更新模型服務自動擴縮容配置
eas:UpdateServiceCronScaler
更新模型服務定時擴縮容配置
eas:CreateAppService
建立應用服務
eas:UpdateServiceSafetyLock
更新服務安全鎖
eas:UpdateServiceInstance
更新服務執行個體屬性
eas:UpdateAppService
更新應用服務
eas:DescribeServiceDiagnosis
查看服務診斷詳情
eas:DescribeServiceInstanceDiagnosis
查看服務執行個體診斷詳情
eas:DescribeServiceEvent
查詢模型服務部署事件
eas:DescribeGroup
查看服務群組詳情
eas:ListServiceVersions
查詢服務歷史版本
eas:ListServiceContainers
查詢服務的容器列表
eas:ListGroups
查看服務群組列表
eas:CreateServiceMirror
建立模型服務流量鏡像
eas:DescribeServiceMirror
查看模型服務流量鏡像狀態
eas:UpdateServiceMirror
更新模型服務流量鏡像配置
eas:DeleteServiceMirror
關閉模型服務流量鏡像
eas:ReleaseService
配置藍綠部署服務流量比例
eas:DescribeServiceLog
查看模型服務日誌資訊
資源群組相關
eas:CreateResource
建立專屬資源群組
eas:DescribeResource
查看專屬資源群組基本資料
eas:ListResources
查看專屬資源群組列表
eas:DeleteResource
刪除專屬資源群組
eas:UpdateResource
更新專屬資源群組基本資料
eas:ListResourceInstances
查看專屬資源群組機器執行個體列表
eas:ListResourceInstanceWorker
查看專屬資源群組機器執行個體建立的容器列表
eas:ListResourceServices
查看專屬資源群組中已部署的服務
eas:CreateResourceInstances
建立專屬資源群組機器執行個體
eas:UpdateResourceInstance
更新專屬資源群組機器執行個體
eas:DeleteResourceInstances
刪除專屬資源群組機器執行個體
eas:UpdateResourceDLink
更新專屬資源群組VPC直連狀態
eas:DescribeResourceDLink
查看專屬資源群組VPC直連狀態
eas:DeleteResourceDLink
刪除專屬資源群組VPC直連配置
eas:CreateResourceLog
開啟專屬資源群組SLS日誌投遞
eas:DescribeResourceLog
查看專屬資源群組SLS日誌投遞狀態
eas:DeleteResourceLog
刪除專屬資源群組SLS日誌投遞配置
壓測任務相關
eas:CreateBenchmarkTask
建立壓測任務
eas:DeleteBenchmarkTask
刪除壓測任務
eas:DescribeBenchmarkTask
查看壓測任務詳情
eas:DescribeBenchmarkTaskReport
查看壓測任務測試報告
eas:ListBenchmarkTask
查詢壓測工作清單
eas:StartBenchmarkTask
啟動壓測任務
eas:StopBenchmarkTask
停止壓測任務
eas:UpdateBenchmarkTask
更新壓測任務
私人網關相關
eas:CreateGateway
建立私人網關
eas:DescribeGateway
查看私人網關詳情
eas:UpdateGateway
更新私人網關
eas:CreateGatewayIntranetLinkedVpc
建立私人網關內網訪問端點
eas:ListGatewayIntranetLinkedVpc
查看私人網關內網訪問端點列表
eas:DeleteGatewayIntranetLinkedVpc
刪除私人網關內網訪問端點
eas:DeleteGateway
刪除私人網關
Resource
EAS中對Resource的描述格式如下所示。
acs:eas:<region>:<uid>:<resource_type>/<id>
您需要將以下參數替換為實際值:
<region>:服務或專屬資源群組所在的地區。
<uid>:可操作帳號的uid。
<resource_type>:資源類型。例如操作服務相關的資源時,取值為service;操作資源群組相關的資源時,取值為resource。
<id>:服務或專屬資源群組的ID。
以下分別以操作指定公用資源群組部署的服務、專屬資源群組部署的服務、專屬資源群組為例,示範Resource的取值:
操作已部署的指定服務
操作公用資源群組部署的服務
acs:eas:cn-hangzhou:123456789012****:service/eas-m-u12fxt9ml1syoj****
上述Resource表示可操作帳號123456789012****在華東1(杭州)部署的ID為eas-m-u12fxt9ml1syoj****的公用資源群組服務。
acs:eas:cn-hangzhou:123456789012****:service/your_service_name
上述Resource表示可操作帳號123456789012****在華東1(杭州)部署的名稱為your_service_name的公用資源群組服務。
操作專屬資源群組部署的服務
acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai81****/service/eas-m-iaskn1skn1us****
上述Resource表示可操作帳號123456789012****在華東2(上海)的ID為eas-r-jksauxqjsai8****的專屬資源群組中部署的eas-m-iaskn1skn1us****服務。
acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai8****/service/your_private_service
上述Resource表示可操作帳號123456789012****在華東2(上海)的ID為eas-r-jksauxqjsai8****的專屬資源群組中部署的名稱為your_private_service的服務。
操作指定的專屬資源群組
acs:eas:cn-beijing:123456789012****:resource/eas-r-jksauxqjsai8****
上述Resource表示可操作帳號123456789012****在華北2(北京)的ID為eas-r-jksauxqjsai8****的專屬資源群組。
大量授權
您可以將Resource描述格式中任意部分替換為星號(*),以實現大量授權。
以下樣本展示大量授權時,Resource的取值範例:
acs:eas:*:123456789012****:service/*
該Resource表示可操作帳號123456789012****在所有地區的所有公用資源群組的服務。
acs:eas:cn-hangzhou:123456789012****:resource/eas-r-jksauxqjsai8****/*
該Resource表示可操作帳號123456789012****在華東1(杭州)的eas-r-jksauxqjsai8****專屬資源群組中部署的所有服務。
acs:eas:*:123456789012****:*
該Resource表示可操作帳號123456789012****在所有地區的所有資源群組和所有服務。
acs:eas:*:123456789012****:service/prefix*
該Resource表示可操作帳號123456789012****在所有地區的名稱首碼為
prefix
的公用資源群組服務。