對(duì) RAM 賬號(hào)進(jìn)行應(yīng)用級(jí)別的訪問(wèn)控制
本文介紹如何對(duì) RAM 賬號(hào)進(jìn)行應(yīng)用級(jí)別的訪問(wèn)控制。
前提條件
已經(jīng)注冊(cè)了阿里云賬號(hào)。如還未注冊(cè),請(qǐng)先完成 賬號(hào)注冊(cè)。
已經(jīng)創(chuàng)建了 RAM 賬戶。如還未創(chuàng)建,請(qǐng)先完成 創(chuàng)建 RAM 用戶。
操作步驟
為 RAM 用戶添加 mPaaS 控制臺(tái)訪問(wèn)權(quán)限。
使用阿里云賬號(hào)登錄 RAM 控制臺(tái)。
在左側(cè)導(dǎo)航欄的 身份管理 菜單下,單擊 用戶。
選擇需要登錄 mPaaS 控制臺(tái)的 RAM 賬戶,單擊 添加權(quán)限。
在 添加權(quán)限 頁(yè)面,搜索
AliyunMPAASFullAccess權(quán)限,單擊權(quán)限確認(rèn)選擇后,單擊 確定。至此,您已完成為 RAM 用戶添加 mPaaS 控制臺(tái)訪問(wèn)權(quán)限,該 RAM 用戶能夠訪問(wèn)主賬號(hào)創(chuàng)建的所有應(yīng)用。如您不需要對(duì) RAM 用戶進(jìn)行訪問(wèn)控制,可以跳過(guò)以下步驟。
為 RAM 用戶添加資源隔離策略。
使用阿里云賬號(hào)登錄 RAM 控制臺(tái)。
在左側(cè)導(dǎo)航欄的權(quán)限管理菜單下,單擊 權(quán)限策略。
單擊 創(chuàng)建權(quán)限策略。
配置模式選擇 腳本編輯。
說(shuō)明mPaaS 目前不支持可視化配置。
編輯策略內(nèi)容。您可以直接使用以下 訪問(wèn)指定應(yīng)用的 RAM 規(guī)則 和 訪問(wèn)全部 mPaaS 應(yīng)用的 RAM 規(guī)則 的示例。在使用訪問(wèn)指定應(yīng)用的 RAM 規(guī)則時(shí),您需要將規(guī)則中的 App ID 替換為待指定應(yīng)用的 App ID。需要指定多個(gè)應(yīng)用時(shí),應(yīng)用的 App ID 以(,)分隔。
訪問(wèn)指定應(yīng)用的 RAM 規(guī)則:
{ "Version": "1", "Statement": [ { "Action": [ "mpaas:FilterApp" ], "Resource": "*", "Effect": "Deny", "Condition": { "StringNotEquals": { "acs:appid": [ "ONEXCBAD96A290957", "..." ] } } }, { "Action": [ "mpaas:*" ], "Resource": "*", "Effect": "Allow" } ] }訪問(wèn)全部應(yīng)用的 RAM 規(guī)則:
{ "Version": "1", "Statement": [ { "Action": [ "mpaas:*" ], "Resource": "*", "Effect": "Allow" } ] }
單擊 下一步:繼續(xù)編輯基本信息。
輸入策略名稱和備注,然后單擊 確定。
在左側(cè)導(dǎo)航欄的 身份管理 菜單下,單擊 用戶。
選擇需要登錄 mPaaS 控制臺(tái)的 RAM 賬號(hào),單擊 添加權(quán)限。
在 添加權(quán)限 頁(yè)面,搜索剛添加的自定義策略權(quán)限,單擊權(quán)限確認(rèn)選擇后,單擊 確定。至此,您已完成為 RAM 用戶添加資源隔離策略。