列表鑒權功能默認開啟,當RAM用戶登錄EDAS對相關資源進行List操作時,系統將進行RAM鑒權并只返回具有相關權限的資源訪問結果。

背景信息

涉及微服務空間列表頁、集群列表頁、應用列表頁的所有列表操作,例如:
  • 創建應用時,選擇微服務空間和集群時的相關列表操作。
  • 創建集群時,選擇微服務空間的相關列表操作。
  • 查看微服務時,選擇微服務空間的相關列表操作。
  • 任務調度頁面,選擇微服務空間的相關列表操作。

列表鑒權用到的RAM Policy Action如下:

范圍 權限
微服務空間 edas:ReadNamespace
集群 edas:ReadCluster
應用 edas:ReadApplication
說明 只要擁有相關資源讀權限的Action,即可在列表頁看到該資源。

使用建議

推薦您使用微服務空間-集群-應用三者統一授權的方式進行資源管理。使用時有以下幾點建議:

  • 當您授權應用的讀權限時,建議同時授予該應用所在集群、微服務空間的讀權限。
  • 當您授予集群的讀權限時,建議同時授予該集群所在微服務空間的讀權限。
  • 考慮到RAM Policy有長度限制,建議您使用通配符授權,例如借助EDAS權限助手來配置某微服務空間下所有應用的操作權限。具體操作,請參見使用EDAS權限助手生成權限策略。
  • 當您的資源數較多時,建議您使用資源組來管理您的資源。具體操作,請參見借助資源組進行權限管理
    說明 資源組目前僅覆蓋了應用和集群,微服務空間的相關權限依然需要在RAM控制臺配置。

關閉列表鑒權

列表鑒權默認打開??梢酝ㄟ^系統管理 > 子賬號頁面的切換列表鑒權按鈕進行關閉。

  1. 登錄EDAS控制臺。
  2. 在EDAS控制臺的系統管理 > 子賬號菜單內,在頁面右上角單擊切換列表鑒權。
    鑒權
  3. 在彈出的對話框中單擊不鑒權,再單擊確認完成關閉。
    說明 關閉鑒權操作有延遲,切換后請等待1分鐘,然后再次刷新界面可查看是否生效。

問題處理

當您遇到下述問題時,可根據指導進行處理。

  • 問題一:如果某個應用AppX屬于微服務空間nX,RAM用戶subAccount擁有AppX的讀(Read)權限,但是沒有微服務空間nX的Read權限,那在應用列表頁能夠找到該應用嗎?

    答:可以。在應用列表頁,微服務空間選擇所有微服務空間,即可看到該應用。

  • 問題二:選擇關閉了列表鑒權,為什么沒有成功關閉?

    答:關閉操作大約有1分鐘的延遲。當您關閉了頁面之后,請1分鐘后再檢查是否成功關閉。

  • 問題三:列表鑒權關閉后,怎么打不開某些資源的詳情頁了?

    答:列表鑒權關閉,并不影響原來的資源鑒權邏輯。列表鑒權關閉后,資源原來的鑒權邏輯依然存在,若子賬號沒有相關的權限,依然會被限制訪問。