Serverless 應用引擎 SAE(Serverless App Engine)提供權限助手功能,簡化SAE相關的RAM權限策略配置。本文介紹如何通過SAE權限助手快速創建權限語句,并在RAM控制臺完成最終的權限策略配置。
前提條件
背景信息
SAE權限助手是一個生成RAM權限策略的工具,能夠協助您對SAE的權限進行可視化配置,精確到應用、任務的讀寫操作,并在SAE控制臺生成對應的權限語句,避免因直接在RAM控制臺手動編輯權限語句而出現紕漏。然后,您可以在RAM控制臺創建對應的自定義權限策略,將權限策略的策略內容修改為該權限語句,并為需要該項SAE權限的RAM用戶授予權限。
阿里云賬號(主賬號)和RAM用戶(子賬號)均可在SAE控制臺通過權限助手創建權限策略草稿,但該策略只有在部署到RAM控制臺后,才具備實際的限制能力。
步驟一:在SAE控制臺創建權限策略
登錄SAE控制臺。
在左側導航欄,選擇。然后在權限助手頁面,單擊新建權限策略。
在新建權限策略面板的權限策略配置配置向導,完成以下操作并單擊下一步。
輸入策略名稱和備注。
配置項
說明
策略名稱
權限策略的自定義名稱。必須以字母開頭,允許數字、字母、下劃線(_)以及短劃線(-)組合,不超過36個字符。
備注
權限策略的說明。
單擊新增權限語句,在創建權限語句面板完成以下操作并單擊完成。
配置項
說明
授權資源
在下拉列表依次選擇資源維度。
地域:支持單選。
命名空間:支持單選。
應用或任務:支持多選。
授權操作
在可選權限復選框內選中需要授予的權限,在已選權限預覽框內查看已選權限。授權操作的限制如下:
搜索操作文本框支持模糊搜索,區分英文字母大小寫。
已選權限復選框默認顯示系統默認讀權限。
讀寫操作具有聯動性,因此在選擇讀寫權限時,系統會自動判斷并幫您勾選相關的權限。例如當您在寫權限下選中時,系統會自動勾選與其相關的讀權限。
您可以在權限策略配置配置向導查看已添加的權限語句,按需執行查看權限、克隆、編輯或刪除操作。
說明如果您需要對多個命名空間的資源進行權限設置,請新增多條權限語句。
如果您需要復制現有的權限語句或在其基礎上進行編輯新增,可以單擊克隆,進入克隆權限語句面板,按需編輯并新增權限語句。
在權限策略預覽配置向導,檢查生成的權限語句,然后單擊完成。
您可以單擊一鍵復制,復制的RAM授權語句將用于步驟二:在RAM控制臺創建自定義權限策略。
控制臺面板將會返回權限助手頁面,您可以查看新建的權限策略,并按需執行查看權限、一鍵復制RAM授權語句、編輯和刪除等操作。
說明通過SAE權限助手生成的權限策略僅適用于操作SAE的資源,且不能超過20條。
當SAE上線新功能時,您需要重新生成RAM權限語句,否則可能會導致原有權限策略下的RAM用戶不具備該新功能的權限。
步驟二:在RAM控制臺創建自定義權限策略
在RAM控制臺創建自定義策略時,您需要將權限策略的內容修改為步驟一:在SAE控制臺創建權限策略生成的權限語句。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在權限策略頁面,單擊創建權限策略。
在創建權限策略頁面,單擊腳本編輯頁簽。
輸入權限策略內容,然后單擊繼續編輯基本信息。
關于權限策略語法結構的詳情,請參見權限策略語法和結構。
輸入權限策略名稱和備注。
檢查并優化權限策略內容。
基礎權限策略優化
系統會對您添加的權限策略語句自動進行基礎優化。基礎權限策略優化會完成以下任務:
刪除不必要的條件。
刪除不必要的數組。
可選:高級權限策略優化
您可以將鼠標懸浮在可選:高級策略優化上,單擊執行,對權限策略內容進行高級優化。高級權限策略優化功能會完成以下任務:
拆分不兼容操作的資源或條件。
收縮資源到更小范圍。
去重或合并語句。
單擊確定。
步驟三:在RAM控制臺為RAM用戶添加授權
成功創建自定義權限策略后,您需要在RAM控制臺為需要該項權限的RAM用戶授權。本文以在用戶頁面為RAM用戶授權的方式為例,操作步驟如下所示。更多方式,請參見為RAM用戶授權。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。系統會自動選擇當前的RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,分為以下兩種。支持批量選中多條權限策略。
單擊確認新增授權。
單擊關閉。