全部产品
Search

搜索本产品

    企业级分布式应用服务 EDAS:将EDAS内置的权限管理切换为RAM权限管理

    文档中心

    企业级分布式应用服务 EDAS:将EDAS内置的权限管理切换为RAM权限管理

    更新时间:Jul 20, 2023

    为了能够用统一的账号体系来管理阿里云产品(包含EDAS)的权限,EDAS已将内置的权限管理迁移至RAM。本文介绍如何将EDAS内置的权限管理切换为RAM的权限管理,以及如何在RAM控制台为RAM用户授予EDAS的权限策略。

    背景信息

    权限策略语言的基本结构和语法,请参见权限策略语法和结构

    参数

    描述

    效力(Effect)

    授权效力包括两种:允许(Allow)和拒绝(Deny)。

    操作(Action)

    操作是指对具体资源的操作。操作支持多值,取值为:所定义的云服务的操作名称。格式为:<service-name>:<action-name>

    • service-name:阿里云产品名称。

    • action-name:相关的云服务的操作名称。

    资源(Resource)

    资源是指被授权的具体对象。格式遵循阿里云ARN(Aliyun Resource Name)的统一规范:acs:<service-name>:<region>:<account-id>:<relative-id>

    限制条件(Condition)(可选)

    限制条件是指授权生效的限制条件。限制条件由一个或多个条件子句构成。一个条件子句由条件关键字(Key)、条件操作类型(Operator)和条件值组成(Value)。

    步骤一:生成EDAS的权限策略

    您可以参见以下三种方式来查看或生成EDAS的权限策略。

    方式一:查看权限策略示例库

    无论您使用了RAM权限还是EDAS内置权限,都可以在权限策略示例库中来查找您想授予的权限策略。更多信息,请参见权限策略示例库

    方式二:使用权限助手生成权限策略

    本文仅介绍简单的场景下如何操作。更多信息,请参见使用EDAS权限助手生成权限策略

    1. 登录EDAS控制台

    2. 在左侧导航栏选择系统管理 > 权限助手

    3. 权限助手页面单击创建权限策略

    4. 创建权限策略配置向导中设置权限策略参数。

      1. 创建自定义权限策略页签配置权限策略参数,然后单击下一步

        参数

        描述

        策略名称

        自定义的策略名称。

        备注

        权限策略的备注信息。

        新增权限语句

        1. 单击新增权限语句

        2. 加授权语句面板设置权限效力操作与资源授权,然后单击确认

          重要

          在添加权限策略时,同时只能选择允许拒绝中的一种权限效力。

        3. 创建自定义权限策略页签内的权限策略列表的操作列根据需求克隆、编辑或删除权限。

      2. 策略预览页签预览权限策略,并在权限策略文本框的右上角单击复制,然后在面板下方单击完成

        控制台面板将会提示新增策略授权成功,单击返回列表查看可查看和管理新建的权限策略。

    5. 授权策略区域复制生成的授权策略。

    方式三:直接转换EDAS内置权限为RAM权限策略

    如果您已经使用EDAS内置权限管理完成了账号授权,可以在EDAS控制台直接将配置的权限转换为RAM权限策略。

    1. 登录EDAS控制台

    2. 在左侧导航栏选择系统管理 > 子账号

    3. 子账号页面选择添加了EDAS内置权限的子账号,在RAM鉴权列单击生成RAM权限策略

    4. 在弹出的RAM权限策略对话框复制权限策略,然后单击确定

    步骤二:创建权限策略

    1. 使用阿里云账号登录RAM控制台

    2. 在左侧导航栏,选择权限管理 > 权限策略

    3. 权限策略页面,单击创建权限策略

    4. 创建权限策略页面,单击脚本编辑页签。

    5. 输入权限策略内容,然后单击继续编辑基本信息

      说明

      策略内容文本框内输入步骤一:生成EDAS的权限策略中生成的权限策略。

    6. 输入权限策略名称备注

    7. 检查并优化权限策略内容。

      • 基础权限策略优化

        系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

        • 删除不必要的条件。

        • 删除不必要的数组。

      • 可选:高级权限策略优化

        您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

        • 拆分不兼容操作的资源或条件。

        • 收缩资源到更小范围。

        • 去重或合并语句。

    8. 单击确定

    步骤三:创建RAM用户并添加授权

    1. 使用阿里云账号登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 用户

    3. 用户页面,单击创建用户

    4. 创建用户页面的用户账号信息区域,设置用户基本信息。

      • 登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。

      • 显示名称:最多包含128个字符。

      • 可选:标签:您可以单击edit,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。

      说明

      单击添加用户,可以批量创建多个RAM用户。

    5. 访问方式区域,选择访问方式,然后设置对应参数。

      为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。

      • 控制台访问

        如果RAM用户代表人员,建议启用控制台访问,使用用户名和密码访问阿里云。启用后,您需要设置以下参数:

        • 控制台密码:选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码强度

        • 密码重置策略:选择在下次登录时是否需要重置密码。

        • 多因素认证(MFA)策略:选择是否为当前RAM用户启用MFA。选择启用MFA后,RAM用户登录控制台时,需要绑定MFA设备。更多信息,请参见为RAM用户绑定多因素认证设备

      • OpenAPI调用访问

        如果RAM用户代表应用程序,建议启用OpenAPI调用访问,使用访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息,请参见创建AccessKey

    6. 单击确定

    7. 返回用户页面,在用户列表中目标RAM用户的操作列单击添加权限

    8. 添加权限面板内设置权限,然后单击确定

      添加权限

      参数

      描述

      授权范围

      包含整个云账号指定资源组。请根据实际需求选择授权范围。

      授权主体

      会自动填入当前RAM用户的登录名称。

      选择权限

      选择自定义策略,然后在搜索框内搜索设置的权限策略名称,在权限策略名称区域单击搜索出来的策略名称,即可选中策略。

    步骤四:在EDAS控制台将授权切换为RAM授权

    1. 登录EDAS控制台

    2. 在左侧导航栏选择系统管理 > 子账号

    3. 子账号页面目标子账号的RAM鉴权列单击切换到RAM

      说明

      • 已经使用了RAM授权的子账号,操作列的按钮将会无法单击。

      • 仍使用EDAS内置授权的子账号,可以选择切换到RAM授权,切换后将无法重新使用EDAS内置授权。

      切换到RAM授权时,EDAS会预先判断该子账号是否已经在RAM控制台授予了EDAS的权限。

      • 如果已经完成了RAM授权,在弹窗中单击确定,即可成功切换为RAM鉴权。

      • 若子账号没有在RAM控制台被授予EDAS权限,将提示前往RAM控制台完成授权。