本文介绍如何对 RAM 账号进行应用级别的访问控制。
前提条件
操作步骤
为 RAM 用户添加 mPaaS 控制台访问权限。
使用阿里云账号登录 RAM 控制台。
在左侧导航栏的 身份管理 菜单下,单击 用户。
选择需要登录 mPaaS 控制台的 RAM 账户,单击 添加权限。
在 添加权限 页面,搜索
AliyunMPAASFullAccess
权限,单击权限确认选择后,单击 确定。至此,您已完成为 RAM 用户添加 mPaaS 控制台访问权限,该 RAM 用户能够访问主账号创建的所有应用。如您不需要对 RAM 用户进行访问控制,可以跳过以下步骤。
为 RAM 用户添加资源隔离策略。
使用阿里云账号登录 RAM 控制台。
在左侧导航栏的权限管理菜单下,单击 权限策略。
单击 创建权限策略。
配置模式选择 脚本编辑。
说明mPaaS 目前不支持可视化配置。
编辑策略内容。您可以直接使用以下 访问指定应用的 RAM 规则 和 访问全部 mPaaS 应用的 RAM 规则 的示例。在使用访问指定应用的 RAM 规则时,您需要将规则中的 App ID 替换为待指定应用的 App ID。需要指定多个应用时,应用的 App ID 以(,)分隔。
访问指定应用的 RAM 规则:
{ "Version": "1", "Statement": [ { "Action": [ "mpaas:FilterApp" ], "Resource": "*", "Effect": "Deny", "Condition": { "StringNotEquals": { "acs:appid": [ "ONEXCBAD96A290957", "..." ] } } }, { "Action": [ "mpaas:*" ], "Resource": "*", "Effect": "Allow" } ] }
访问全部应用的 RAM 规则:
{ "Version": "1", "Statement": [ { "Action": [ "mpaas:*" ], "Resource": "*", "Effect": "Allow" } ] }
单击 下一步:继续编辑基本信息。
输入策略名称和备注,然后单击 确定。
在左侧导航栏的 身份管理 菜单下,单击 用户。
选择需要登录 mPaaS 控制台的 RAM 账号,单击 添加权限。
在 添加权限 页面,搜索刚添加的自定义策略权限,单击权限确认选择后,单击 确定。至此,您已完成为 RAM 用户添加资源隔离策略。