对 RAM 账号进行应用级别的访问控制

本文介绍如何对 RAM 账号进行应用级别的访问控制。

前提条件

  1. 已经注册了阿里云账号。如还未注册,请先完成 账号注册

  2. 已经创建了 RAM 账户。如还未创建,请先完成 创建 RAM 用户

操作步骤

  1. 为 RAM 用户添加 mPaaS 控制台访问权限。

    1. 使用阿里云账号登录 RAM 控制台

    2. 在左侧导航栏的 身份管理 菜单下,单击 用户

    3. 选择需要登录 mPaaS 控制台的 RAM 账户,单击 添加权限

    4. 添加权限 页面,搜索 AliyunMPAASFullAccess权限,单击权限确认选择后,单击 确定。至此,您已完成为 RAM 用户添加 mPaaS 控制台访问权限,该 RAM 用户能够访问主账号创建的所有应用。如您不需要对 RAM 用户进行访问控制,可以跳过以下步骤。

  2. 为 RAM 用户添加资源隔离策略。

    1. 使用阿里云账号登录 RAM 控制台

    2. 在左侧导航栏的权限管理菜单下,单击 权限策略

    3. 单击 创建权限策略

    4. 配置模式选择 脚本编辑

      说明

      mPaaS 目前不支持可视化配置。

    5. 编辑策略内容。您可以直接使用以下 访问指定应用的 RAM 规则 访问全部 mPaaS 应用的 RAM 规则 的示例。在使用访问指定应用的 RAM 规则时,您需要将规则中的 App ID 替换为待指定应用的 App ID。需要指定多个应用时,应用的 App ID 以(,)分隔。

      • 访问指定应用的 RAM 规则:

        {
        "Version": "1",
        "Statement": [
        {
          "Action": [
              "mpaas:FilterApp"
          ],
          "Resource": "*",
          "Effect": "Deny",
          "Condition": {
              "StringNotEquals": {
                  "acs:appid": [
                      "ONEXCBAD96A290957",
                      "..."
                  ]
              }
          }
        },
        {
          "Action": [
              "mpaas:*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
        ]
        }
      • 访问全部应用的 RAM 规则:

        {
        "Version": "1",
        "Statement": [
        {
          "Action": [
              "mpaas:*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
        ]
        }
    6. 单击 下一步:继续编辑基本信息

    7. 输入策略名称和备注,然后单击 确定

    8. 在左侧导航栏的 身份管理 菜单下,单击 用户

    9. 选择需要登录 mPaaS 控制台的 RAM 账号,单击 添加权限

    10. 添加权限 页面,搜索刚添加的自定义策略权限,单击权限确认选择后,单击 确定。至此,您已完成为 RAM 用户添加资源隔离策略。