使用EDAS權(quán)限助手生成權(quán)限策略
EDAS權(quán)限助手是一個RAM權(quán)限策略的生成工具,用于幫助您在RAM中快速創(chuàng)建EDAS相關(guān)的權(quán)限策略,以便盡快將EDAS內(nèi)置的子賬號的權(quán)限管理遷移到RAM用戶的權(quán)限管理。
查看EDAS系統(tǒng)權(quán)限策略模板
在EDAS控制臺的權(quán)限助手頁面,內(nèi)置了8種默認的權(quán)限策略模板。您可以根據(jù)要遷移的內(nèi)置子賬號的功能,復(fù)制對應(yīng)的系統(tǒng)權(quán)限策略,然后登錄RAM控制臺授權(quán)給對應(yīng)的RAM用戶,詳情請參見將EDAS內(nèi)置的權(quán)限管理切換為RAM權(quán)限管理。
登錄EDAS控制臺。
在左側(cè)導(dǎo)航欄選擇。
在權(quán)限助手頁面中查看EDAS提供的系統(tǒng)權(quán)限策略模板。
策略類型為系統(tǒng)策略,表示該權(quán)限策略為EDAS提供的權(quán)限策略模板,您可以根據(jù)實際需求執(zhí)行以下操作:
在策略最右側(cè)單擊克隆,進入創(chuàng)建權(quán)限策略面板,根據(jù)您的實際需求編輯、創(chuàng)建一個自定義權(quán)限策略。
在策略最右側(cè)單擊查看詳情,進入查看詳情對話框,單擊復(fù)制,然后登錄RAM控制臺,在創(chuàng)建自定義權(quán)限策略時使用,并授權(quán)給對應(yīng)的RAM用戶。具體操作,詳情請參見將EDAS內(nèi)置的權(quán)限管理切換為RAM權(quán)限管理。
EDAS自帶的8種系統(tǒng)策略模板的詳細介紹請參見EDAS系統(tǒng)策略模板介紹。
創(chuàng)建自定義權(quán)限策略模板
除了自帶的系統(tǒng)策略模板外,你還可以通過權(quán)限助手創(chuàng)建自定義策略模板。下面以一個具體的示例,來介紹如何生成自定義的權(quán)限策略模板。
需要為某個RAM用戶配置以下權(quán)限:
在華北2(北京)地域下,查看微服務(wù)空間test的權(quán)限。
在華北2(北京)地域下,查看微服務(wù)空間test下所有集群的權(quán)限。
在微服務(wù)空間test下,除創(chuàng)建應(yīng)用外的其他所有應(yīng)用相關(guān)的操作權(quán)限。
登錄EDAS控制臺。
在左側(cè)導(dǎo)航欄選擇。
在權(quán)限助手頁面單擊創(chuàng)建權(quán)限策略。
在創(chuàng)建權(quán)限策略配置向?qū)У?b data-tag="uicontrol" id="uicontrol-7f7-7r6-u3s" class="uicontrol">創(chuàng)建自定義權(quán)限策略頁簽中設(shè)置權(quán)限策略的策略名稱和備注。
添加權(quán)限語句。
重要在新增權(quán)限語句時,只能選擇一種類型(允許或拒絕)的權(quán)限效力。
您可以為一個權(quán)限策略創(chuàng)建多個權(quán)限語句,當(dāng)某個權(quán)限的權(quán)限效力在不同權(quán)限語句中被設(shè)置為允許和拒絕時,遵循拒絕優(yōu)先原則。
在創(chuàng)建自定義權(quán)限策略頁簽中單擊新增權(quán)限語句,在加授權(quán)語句面板中,將查看微服務(wù)空間test、查看微服務(wù)空間test下的所有集群,以及操作微服務(wù)空間test下所有應(yīng)用的權(quán)限效力設(shè)置為允許,然后單擊確認。
在權(quán)限效力下方選擇允許。
在操作與資源授權(quán)左側(cè)的權(quán)限列表中選擇,在右側(cè)的資源列表中選擇華北2(北京)和test。
在操作與資源授權(quán)左側(cè)的權(quán)限列表中選擇,在右側(cè)的資源列表中選擇華北2(北京)、test和全部集群。
在操作與資源授權(quán)左側(cè)的權(quán)限列表中選擇應(yīng)用(該操作會選中應(yīng)用下的所有權(quán)限),在右側(cè)的資源列表中選擇華北2(北京)和test。
在創(chuàng)建自定義權(quán)限策略頁簽中單擊新增權(quán)限語句,在加授權(quán)語句面板中,將微服務(wù)空間test下創(chuàng)建應(yīng)用的權(quán)限效力設(shè)置為拒絕,然后單擊確認。
在權(quán)限效力下方選擇拒絕。
在操作與資源授權(quán)左側(cè)的權(quán)限列表中選擇,在右側(cè)的資源列表中選擇華北2(北京)和test。
在策略預(yù)覽頁簽預(yù)覽權(quán)限,然后單擊完成。
控制臺面板將會提示新增策略授權(quán)成功,單擊返回列表查看可返回權(quán)限助手頁面,查看新建的權(quán)限策略模板。
在策略最右側(cè)單擊查看詳情,進入查看詳情對話框,單擊復(fù)制,然后登錄RAM控制臺,在創(chuàng)建自定義權(quán)限策略時使用,并授權(quán)給對應(yīng)的RAM用戶。具體操作,詳情請參見將EDAS內(nèi)置的權(quán)限管理切換為RAM權(quán)限管理。
EDAS系統(tǒng)策略模板介紹
超級管理員
超級管理員擁有EDAS的所有權(quán)限,其權(quán)限范圍等同于主賬號,在非必要時不推薦使用,請授予子賬號更細粒度的權(quán)限策略。超級管理員擁有的權(quán)限如下:
微服務(wù)空間相關(guān)的所有權(quán)限
集群相關(guān)的所有權(quán)限
應(yīng)用相關(guān)的所有權(quán)限
微服務(wù)相關(guān)的所有權(quán)限
管理配置相關(guān)的所有權(quán)限
其等效的RAM權(quán)限策略為:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Namespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Cluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Application"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Service"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ManageSystem",
"edas:ManageOperation",
"edas:ReadOperationLog"
],
"Resource": [
"acs:edas:*:*:*"
]
}
]
}應(yīng)用管理員
應(yīng)用管理員擁有對應(yīng)用操作的所有權(quán)限,擁有的權(quán)限如下:
應(yīng)用相關(guān)的所有權(quán)限
微服務(wù)相關(guān)的所有權(quán)限
集群的所有權(quán)限
其等效的RAM權(quán)限策略為:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Application"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Service"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadCluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
}
]
}應(yīng)用運維人員
應(yīng)用運維員通常負責(zé)應(yīng)用的運維,相比于應(yīng)用管理員,應(yīng)用運維員無法創(chuàng)建或刪除應(yīng)用,只能對現(xiàn)有的應(yīng)用進行運維。擁有的權(quán)限如下:
除了應(yīng)用創(chuàng)建外的所有應(yīng)用相關(guān)權(quán)限
微服務(wù)相關(guān)的所有權(quán)限
系統(tǒng)運維權(quán)限(edas:ManageOperation)
其等效的RAM權(quán)限策略為:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Application"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Service"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ManageOperation"
],
"Resource": [
"acs:edas:*:*:*"
]
},
{
"Effect": "Deny",
"Action": [
"edas:CreateApplication"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
}
]
}應(yīng)用查看人員
應(yīng)用查看人員可以查看所有的應(yīng)用信息。擁有的權(quán)限如下:
應(yīng)用的查看權(quán)限
微服務(wù)的查看權(quán)限
其等效的RAM權(quán)限策略為:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:ReadApplication"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadService"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
}
]
}資源管理人員
資源管理員擁有微服務(wù)空間和集群的所有權(quán)限,它不負責(zé)應(yīng)用的創(chuàng)建維護等,它只關(guān)心在EDAS上的資源管理。比如微服務(wù)空間的維護、管理ECS集群內(nèi)的ECS資源等。擁有的權(quán)限如下:
微服務(wù)空間相關(guān)的所有權(quán)限
集群相關(guān)的所有權(quán)限
其等效的RAM權(quán)限策略為:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Namespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Cluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
}
]
}資源運維人員
相比于資源管理員,資源運維人員無法創(chuàng)建微服務(wù)空間和集群,僅能對當(dāng)前的資源進行管理。擁有的權(quán)限如下:
除微服務(wù)空間創(chuàng)建外的所有微服務(wù)空間相關(guān)權(quán)限
除創(chuàng)建集群外的所有集群相關(guān)權(quán)限
其等效的RAM權(quán)限策略為:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:*Namespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:*Cluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
},
{
"Effect": "Deny",
"Action": [
"edas:CreateNamespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Deny",
"Action": [
"edas:CreateCluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
}
]
}資源查看人員
資源查看人員只可以對微服務(wù)空間和集群進行查看。擁有的權(quán)限如下:
微服務(wù)空間的查看權(quán)限
集群的查看權(quán)限
其等效的RAM權(quán)限策略為:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:ReadNamespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadCluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
}
]
}EDAS只讀權(quán)限
EDAS只讀權(quán)限擁有EDAS上所有資源的查看權(quán)限,擁有的權(quán)限如下:
微服務(wù)空間的讀權(quán)限
集群的讀權(quán)限
應(yīng)用的讀權(quán)限
微服務(wù)的讀權(quán)限
配置的讀權(quán)限
操作日志的讀權(quán)限
其等效的RAM權(quán)限策略為:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"edas:ReadNamespace"
],
"Resource": [
"acs:edas:*:*:namespace/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadCluster"
],
"Resource": [
"acs:edas:*:*:namespace/*/cluster/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadApplication"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadService"
],
"Resource": [
"acs:edas:*:*:namespace/*/application/*"
]
},
{
"Effect": "Allow",
"Action": [
"edas:ReadOperationLog"
],
"Resource": [
"acs:edas:*:*:*"
]
}
]
}