对 RAM 账号进行组件级别的访问控制

本文介绍了如何对 RAM 用户进行组件级别的访问控制。组件级别的访问控制分为以下四种:

前提条件

  1. 已经注册了阿里云账号。如还未注册,请先完成 账号注册

  2. 已经创建了 RAM 用户。如还未创建,请先完成 创建 RAM 用户

授权所有组件

  1. 使用阿里云账号登录 RAM 控制台

  2. 在左侧导航栏的 身份管理 菜单下,单击 用户

  3. 选择需要登录 mPaaS 控制台的 RAM 账户,单击 添加权限

  4. 在添加权限页面,搜索 AliyunMPAASFullAccess权限,单击权限确认选择后,单击 确定。至此,您已完成为 RAM 用户添加 mPaaS 控制台访问权限,该 RAM 用户能够访问主账号创建的所有应用,并能够使用所有组件。

授权所有组件,但指定可用的应用

  1. 使用阿里云账号登录 RAM 控制台

  2. 在左侧导航栏的权限管理菜单下,单击 权限策略

  3. 单击 创建权限策略

  4. 配置模式选择 脚本配置

  5. 编辑策略内容。您可以参考以下示例。在使用访问指定应用的 RAM 规则时,您需要将规则中的 App ID 替换为待指定应用的 App ID。需要指定多个应用时,应用的 App ID 以(,)分隔。

    {
     "Version": "1",
     "Statement": [
        {
             "Action": [
                 "mpaas:GetOnexMethod"
             ],
             "Resource": "*",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "mpaas:*"
             ],
             "Resource": "*",
             "Effect": "Allow",
             "Condition": {
                 "StringEquals": {
                     "mpaas:AppId": [
                         "ONEXCBAD96A290957",
                         "..."
                     ]
                 }
             }
         }
     ]
    }
  6. 单击 下一步:编辑基本信息,输入策略名称和备注,然后单击 确定

  7. 在左侧导航栏的 身份管理 菜单下,单击 用户

  8. 选择需要登录 mPaaS 控制台的 RAM 账号,单击 添加权限

  9. 在添加权限页面,搜索刚添加的自定义策略权限,单击权限确认选择后,单击 确定

    说明

    mPaaS 目前不支持可视化配置模式。

授权某一组件,并包含创建 workspace、创建应用以及删除应用的权限

  1. 使用阿里云账号登录 RAM 控制台

  2. 在左侧导航栏的权限管理菜单下,单击 权限策略

  3. 单击 创建权限策略

  4. 配置模式选择 脚本配置

  5. 编辑策略内容。您可以参考以下示例。

     {
         "Version":"1",
         "Statement":[
           {
                 "Action": [
                     "mpaas:GetOnexMethod"
                 ],
                 "Resource": "*",
                 "Effect": "Allow"
             },
    
             {
                 "Action":[
                     "mpaas:*"
                 ],
                 "Resource":"*",
                 "Effect":"Allow",
                 "Condition":{
                     "StringEquals":{
                         "mpaas:ComponentId":[
                             "mAppCenter",
                             "mds"
                         ],
                       "mpaas:AppId":[
                             "ONEXCBAD96A290957",
                             "13FF079171113",
                             "..."
                         ]
                     }
                 }
             }
         ]
     }
    说明

    mpaas:ComponentId 中的 mAppCenter 是一个值,必须填写;后面的值是要授权的组件。mpaas:ComponentId 中的值和各个组件的对应关系如下。

    mpaas:ComponentId

    对应组件

    mas

    移动分析

    mcdp

    智能投放

    mds

    实时发布

    mgs

    移动网关

    mps

    消息推送

    mss

    数据同步

    msa

    应用安全加固

    mrtc

    音视频通话

  6. 单击 下一步:编辑基本信息,输入策略名称和备注,然后单击 确定

  7. 在左侧导航栏的 身份管理 菜单下,单击 用户

  8. 选择需要登录 mPaaS 控制台的 RAM 账号,单击 添加权限

  9. 在添加权限页面,搜索刚添加的自定义策略权限,单击权限确认选择后,单击 确定。至此,您已完成为 RAM 用户添加资源隔离策略。

重要

由于 RAM 权限中通过 mpaas:AppId App,所以即使 RAM 用户能够创建新的 App,在没有为该用户分配 App 之前,该用户也无法看到自己创建的 App。

授权某一组件,不包含创建 workspace、创建应用以及删除应用的权限

只有在不包含创建 workspace、创建 App 以及删除 App 的权限时,才可以同时对 RAM 用户分配权限生效的 workspace 和 App。

  1. 使用阿里云账号登录 RAM 控制台

  2. 在左侧导航栏的权限管理菜单下,单击 权限策略

  3. 单击 创建权限策略

  4. 配置模式选择 脚本配置

  5. 编辑策略内容。您可以参考以下示例。

    {
     "Version": "1",
     "Statement": [
         {
             "Action": [
                 "mpaas:GetOnexMethod"
             ],
             "Resource": "*",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "mpaas:*"
             ],
             "Resource": [
                 "acs:mpaas:*:*:component/workspace/test/app/ONEXPRE40DB571051148",
                 "acs:mpaas:*:*:component/workspace/default/app/ONEXPRE40DB571051148"
             ],
             "Effect": "Allow",
             "Condition": {
                 "StringEquals": {
                     "mpaas:ComponentId": [
                         "mAppCenter",
                         "mds"
                     ]
                 }
             }
         }
     ]
    }
    说明
    • FilterWorkspace 这个 action 中,Resource 的格式是 acs:mpaas:*:*:component/workspace/${workspaceId}, ${workspaceId} 是待分配给 RAM 账号的workspace 的 ID。

    • mpaas:* 这个 action 中,Resource 的格式是 acs:mpaas:*:*:component/workspace/${workspaceId}/app/${appId}${workspaceId} 是待分配给 RAM 账户的 workspace 的 ID;${appId} 是待分配给 RAM 账户的 App 的 ID,如果想对所有 App 生效,可以赋值 *

  6. 单击 下一步:编辑基本信息,输入策略名称和备注,然后单击 确定

  7. 在左侧导航栏的 身份管理 菜单下,单击 用户

  8. 选择需要登录 mPaaS 控制台的 RAM 账号,单击 添加权限

  9. 在添加权限页面,搜索刚添加的自定义策略权限,单击权限确认选择后,单击 确定。至此,您已完成为 RAM 用户添加资源隔离策略。