功能介紹

在云速搭CADT權限管理頁面，可以方便地實現創建用戶、創建資源組、用戶授權及資源組授權操作。

• 創建RAM用戶：通過創建新的RAM用戶并授權，RAM用戶便可以訪問相關資源。

• 創建資源組：通過創建資源組，可以實現根據業務部門、項目等維度進行云資源的分組管理。

• 為RAM用戶授權：為RAM用戶授權后，RAM用戶可以訪問相應的阿里云資源

• 添加RAM身份并授權：完成授權后，被授權的主體將獲得當前資源組內資源的相應權限。

場景模擬

假設在CADT中我們創建了兩個應用：app-test、app-dev，現在需要將這兩個應用分別授予對應的用戶進行操作，例如，授予開發人員（cadt-dev001）有且只擁有應用app-dev的操作權限，授予測試人員（cadt-test001）有且只擁有應用app-test的操作權限。

前提條件

為了完成上述操作場景，我們需要通過CADT提前創建好兩個應用app-test、app-dev，操作方法可以參見創建自定義應用，創建好的應用如下圖所示：

步驟一：創建用戶

首先需要創建兩個RAM用戶，分別代表開發人員（cadt-dev001）和測試人員（cadt-test001）。

1. （主賬號）登錄云速搭CADT管理控制臺。

2. 通過菜單欄下的管理>權限管理，進入權限管理頁面。

   說明

   云速搭CADT權限管理功能只面向主賬號開放。

   

3. 在權限管理頁面，單擊創建用戶。

4. 按照標簽順序依次填寫創建開發人員（cadt-dev001），完成以下配置，并單擊確定。

5. 以同樣方式創建測試人員（cadt-test001）。

   兩個RAM用戶創建完成后如下圖所示：

   

步驟二：創建資源組

本文創建兩個資源組：開發環境（dev）和測試環境（test），分別對應開發人員和測試人員的操作環境，實現資源的隔離。

1. 在CADT權限管理頁面單擊創建資源組。

2. 按照標簽順序依次填寫創建開發環境（dev）資源組，完成以下配置，單擊確定。

3. 以同樣方式創建測試環境資源組（test）。

   完成后，在CADT權限管理頁面可以看到新創建的兩個資源組，如下圖所示：

步驟三：RAM用戶和資源組授權

完成RAM用戶和資源組創建后，接下來需要授予RAM用戶對特定資源組中云資源的操作權限。

1. 在CADT權限管理頁面單擊用戶授權或資源組授權均可。以“用戶授權”為例：

2. 選定指定用戶，例如開發人員cadt-dev001，單擊添加權限。

3. 在添加權限頁面，完成以下配置，并單擊確定。

   • 授權范圍：指定資源組，這里選擇創建的“開發環境”（對應開發人員cadt-dev001）。

   • 授權主體：開發人員cadt-dev001

   • 選擇權限：CADT系統策略介紹請參見CADT系統策略及使用方法介紹，如果系統權限策略不能滿足您的需求，可以通過創建CADT自定義權限策略實現精細化權限管理。

     本示例作為演示，授予cadt-dev001對CADT的管理權限。

• 以同樣方式，完成測試人員cadt-test001的授權。

步驟四：CADT應用授權

完成RAM用戶和資源組授權后，最后需要將CADT應用添加到對應的資源組，這樣處于同一資源組的用戶才有權限操作對應的CADT應用。

1. 在CADT權限管理頁面找到對應的資源組，例如開發環境資源組（dev），單擊添加授權。

2. 在添加授權頁面，按照標簽順序打開我的應用選擇需要授權的應用或模板進行授權，這里選擇應用app-dev，單擊授權。

3. 完成授權后，可以看到如下圖所示頁面：

4. 以同樣方式，將應用app-test添加到資源組測試環境（test）中：

步驟五：結果驗證

完成以上操作后，接下來驗證開發人員（cadt-dev001）有且只擁有應用app-dev的操作權限，測試人員（cadt-test001）有且只擁有應用app-test的操作權限。

1. 在主賬號RAM控制臺的概覽頁面記錄用戶登錄地址。

2. 通過其他瀏覽器或無痕模式，打開上一步記錄的用戶登錄地址，輸入用戶名和密碼進行登錄。例如登錄開發人員（cadt-dev001）：

3. 登錄CADT，可以看到當前開發人員（cadt-dev001）只有開發環境的權限（符合驗證結果），并切換到開發環境。

4. 打開應用 > 我的應用頁面，可以看到當前開發人員（cadt-dev001）賬號下有且只能看到應用app-dev，驗證結果正確。

5. 以同樣方式驗證測試人員（cadt-test001）賬號，驗證結果正確。