EDAS权限助手是一个访问控制RAM(Resource Access Management)权限策略的生成工具,用于配置EDAS的RAM权限,帮助您尽快将子账号的权限管理从EDAS迁移到RAM。

EDAS系统权限策略模板

目前在EDAS控制台的权限助手页面,内置了8种无法修改的权限策略模板。您可以根据子账号的功能区分,复制对应的系统权限策略,然后登录RAM控制台授权给子账号,详情请参见将EDAS内置授权切换为RAM授权

  1. 登录EDAS控制台
  2. 在左侧导航栏选择系统管理 > 权限助手
  3. 策略类型系统策略表示该权限策略为EDAS自带的权限策略模板,可以根据您的需求完成以下操作。
    • 在策略最右侧单击复制,可进入创建策略授权面板,根据您的实际需求来创建并自定义一个权限策略。
    • 在策略最右侧单击查看详情,可在查看详情对话框右上角单击复制,然后将复制的策略拷贝到RAM控制台完成子账号的授权,详情请参见将EDAS内置授权切换为RAM授权

EDAS自带的8种系统策略模板的详细介绍请参见EDAS系统策略模板介绍

自定义权限策略模板

除了自带的系统策略模板外,EDAS还提供了自定义策略模板,帮助您自主配置并生成权限策略。下面以一个具体的示例,来介绍如何生成自定义的权限策略模板。

给开发人员的子账号配置以下权限:
  • 华北2地域下,test命名空间的查看权限。
  • 华北2地域下,test命名空间下所有集群的查看权限。
  • test命名空间下所有应用相关的权限,但不包括创建应用的权限。
  1. 登录EDAS控制台
  2. 在左侧导航栏选择系统管理 > 权限助手
  3. 权限配置助手页面左上角单击创建权限策略
  4. 新增策略授权面板设置权限策略的策略名称备注,然后单击新增权限语句
  5. 加授权语句面板配置权限策略,完成配置后单击下一步
    注意
    • 在添加权限策略时,同时只能选择允许或拒绝一种类型的权限效力。
    • 您可以创建多个权限策略,当某个权限的权限效力同时有被设置为允许(Allow)拒绝(Deny)时,遵循拒绝优先原则。
    1. 授予test命名空间下需要设置权限效力为允许(Allow)的权限,完成配置后单击确认
      参数 描述
      权限效力 选中允许(Allow)
      操作与资源授权 分别选中以下权限并设置资源信息:
      • 在左侧权限树选中查看命名空间,在右侧的资源栏选择华北2test
      • 在左侧权限树选中查看集群,在右侧的资源栏选择华北2test全部集群查看集群
      • 在左侧权限树选中应用(该操作会选中应用下的所有权限),在右侧的资源栏选择华北2test
    2. 单击新增权限语句,授予test命名空间下的权限效力为拒绝的权限,完成配置后单击确认
      参数 描述
      权限效力 选中拒绝(Deny)
      操作与资源授权 选中权限并设置资源信息:在左侧权限树选中创建应用,在右侧的资源栏选择华北2test
  6. 策略预览页签预览权限,然后在面板下方单击完成
    控制台面板将会提示新增策略授权成功,单击返回列表查看可查看和管理新建的权限策略。
  7. 授权策略区域复制生成的授权策略。

EDAS系统策略模板介绍

超级管理员

超级管理员拥有EDAS的所有权限,其权限范围等同于主账号,在非必要时不推荐使用,请授予子账号更细粒度的权限策略。超级管理员拥有的权限如下:
  • 命名空间相关的所有权限
  • 集群相关的所有权限
  • 应用相关的所有权限
  • 微服务相关的所有权限
  • 管理配置相关的所有权限

其等效的RAM权限策略为:

{
    "Version": "1",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
              "edas:ManageSystem",
            "edas:ManageOperation",
            "edas:ReadOperationLog"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      }
    ]
}

应用管理员

应用管理员拥有对应用操作的所有权限,拥有的权限如下:
  • 应用相关的所有权限
  • 微服务相关的所有权限
  • 集群的所有权限

其等效的RAM权限策略为:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

应用运维人员

应用运维员通常负责应用的运维,相比于应用管理员,应用运维员无法创建或删除应用,只能对现有的应用进行运维。拥有的权限如下:
  • 除了应用创建外的所有应用相关权限
  • 微服务相关的所有权限
  • 系统运维权限(edas:ManageOperation)

其等效的RAM权限策略为:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Application"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Service"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ManageOperation"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      },
        {
        "Effect": "Deny",
        "Action": [
          "edas:CreateApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      }
    ]
}

应用查看人员

应用查看人员可以查看所有的应用信息。拥有的权限如下:
  • 应用的查看权限
  • 微服务的查看权限

其等效的RAM权限策略为:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadService"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      }
    ]
}

资源管理人员

资源管理员拥有命名空间和集群的所有权限,它不负责应用的创建维护等,它只关心在EDAS上的资源管理。比如命名空间的维护、管理ECS集群内的ECS资源等。拥有的权限如下:
  • 命名空间相关的所有权限
  • 集群相关的所有权限

其等效的RAM权限策略为:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

资源运维人员

相比于资源管理员,资源运维人员无法创建命名空间和集群,仅能对当前的资源进行管理。拥有的权限如下:
  • 除命名空间创建外的所有命名空间相关权限
  • 除创建集群外的所有集群相关权限

其等效的RAM权限策略为:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Namespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:*Cluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Deny",
        "Action": [
          "edas:CreateNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Deny",
        "Action": [
          "edas:CreateCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

资源查看人员

资源查看人员只可以对命名空间和集群进行查看。拥有的权限如下:
  • 命名空间的查看权限
  • 集权的查看权限

其等效的RAM权限策略为:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      }
    ]
}

EDAS只读权限

EDAS只读权限拥有EDAS上所有资源的查看权限,拥有的权限如下:
  • 命名空间的读权限
  • 集群的读权限
  • 应用的读权限
  • 微服务的读权限
  • 配置的读权限
  • 操作日志的读权限

其等效的RAM权限策略为:

{
    "Version": "1",
    "Statement": [
        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadNamespace"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadCluster"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/cluster/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadApplication"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },        
      {
        "Effect": "Allow",
        "Action": [
          "edas:ReadService"
        ],
        "Resource": [
          "acs:edas:*:*:namespace/*/application/*"
        ]
      },
        {
        "Effect": "Allow",
        "Action": [
          "edas:ReadOperationLog"
        ],
        "Resource": [
          "acs:edas:*:*:*"
        ]
      }
    ]
}