MSE支持阿里云账号给RAM用户授予云原生网关的操作权限,避免因暴露阿里云账号密钥造成的安全风险。本文介绍如何创建RAM用户并给RAM用户授权,授权后您就可以通过RAM用户使用MSE云原生网关。
使用场景
某企业开通了微服务引擎MSE云原生网关服务,由于员工工作职责不同,对资源操作所需权限也不同,现有如下需求:
鉴于安全或信任原因,不希望将云账号密钥直接透露给员工,期望可以为员工相应的账号授予权限。
用户账号只能在授权的前提下操作资源,不需要进行独立的计量计费,所有开销均计入企业账号名下。
随时可以撤销用户账号的权限,也可以随时删除其创建的用户账号。
MSE云原生网关作为一个托管型产品有开发和运维两个角色,运维人员负责集群和权限的管理,开发人员负责配置和服务管理。
使用说明
您可以使用阿里云账号通过控制台和API为RAM用户授权,本文介绍如何通过控制台操作。
步骤一:创建RAM用户
使用阿里云账号登录RAM控制台并创建RAM用户。
使用阿里云账号登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击创建用户。
在创建用户页面的用户账号信息区域,设置用户基本信息。
登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。
显示名称:最多包含128个字符。
可选:标签:您可以单击,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。
说明单击添加用户,可以批量创建多个RAM用户。
在访问方式区域选中控制台访问或OpenAPI调用访问。
控制台访问:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
说明自定义登录密码时,密码必须满足您在设置RAM用户密码强度。
中设置的密码复杂度规则。关于如何设置密码复杂度规则,请参见OpenAPI调用访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
说明为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。
单击确定。
步骤二:为RAM用户添加权限
在使用RAM用户之前,需要为其添加相应权限。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,为RAM用户添加权限,然后单击确定。
- 选择授权应用范围。
- 整个云账号:权限在当前阿里云账号内生效。
- 指定资源组:权限在指定的资源组内生效。说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务。
- 输入授权主体。授权主体即需要添加权限的RAM用户。
选择权限策略。
选择权限策略类型,在文本框中输入要添加的权限策略关键字,然后单击搜索到的权限策略,添加到右侧的已选择列表中。
权限类型包括系统权限策略和自定义权限策略:
系统权限策略(粗粒度授权)
微服务引擎MSE目前支持两种粗粒度的系统权限策略。
权限策略名称
说明
AliyunMSEFullAccess
管理微服务引擎MSE的权限,等同于阿里云账号的权限,被授予该权限的RAM用户拥有控制台所有功能的操作权限。
AliyunMSEReadOnlyAccess
微服务引擎MSE的只读权限,被授予该权限的RAM用户具有阿里云账号所有资源的只读权限。
说明建议给运维人员授予AliyunMSEFullAccess权限策略,由运维人员去创建和删除资源。给开发人员授予AliyunMSEReadOnlyAccess权限策略,可以查看这些资源,但是不能删除和创建。如果想更细粒度地控制开发人员的权限,您可使用以下自定义权限策略。
自定义权限策略(细粒度授权)
如果您需要更细粒度地授权,您可以通过创建自定义策略来进行访问控制。创建自定义策略的具体步骤,请参见创建自定义权限策略。
示例一:授予RAM用户对云原生网关实例gw-f23fcdca44c84769a6652245ecc****的读写权限。
{ "Statement": [ { "Action": [ "mse:*" ], "Resource": "acs:mse:*:*:instance/gw-f23fcdca44c84769a6652245ecc****", "Effect": "Allow" } ], "Version": "1" }
示例二:授予RAM用户对所有云原生网关实例的读权限。
{ "Statement": [ { "Action": [ "mse:List*", "mse:Query*", "mse:Get*", "mse:Pull*" ], "Resource": "acs:mse:*:*:*", "Effect": "Allow" } ], "Version": "1" }
示例三:授予RAM用户控制台提示的资源操作权限。
{ "Statement": [ { "Action": [ "mse:UpdateGatewayName" ], "Resource": "acs:mse:cn-hangzhou:{主账号ID}:instance/{网关实例ID} ", "Effect": "Allow" } ], "Version": "1" }
- 选择授权应用范围。
在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。
后续操作
使用阿里云账号创建好RAM用户后,即可将RAM用户的登录名称及密码或者AccessKey信息分发给其他用户。其他用户可以按照以下步骤使用RAM用户登录控制台或调用API。
登录控制台
打开RAM用户登录页面。
在RAM用户登录页面,输入RAM用户登录名称,单击下一步,并输入RAM用户密码,然后单击登录。
说明RAM用户登录名称的格式为
<$username>@<$AccountAlias>
或<$username>@<$AccountAlias>.onaliyun.com
。<$AccountAlias>为账号别名,如果没有设置账号别名,则默认值为阿里云账号的ID。在子用户用户中心页面上单击有权限的产品,即可访问控制台。
调用API
使用RAM用户的AccessKey调用API。在代码中使用RAM用户的AccessKey ID和AccessKey Secret即可。
相关内容
为了方便您自定义RAM权限策略,本文提供了MSE云原生网关的授权映射表。
网关相关
Action
权限说明
是否为只读类权限
AddGateway
创建按量付费的云原生网关
否
ListGateway
查询网关集群列表
是
GetGatewayDetail
查看单个网关详情
是
GetGateway
查询单个网关信息
是
ListGatewaySlb
查询网关入口SLB
是
SelectGatewaySlb
查询已有的SLB
否
AddGatewaySlb
新关联一个网关入口SLB
否
DeleteGatewaySlb
解绑一个网关入口SLB
否
DeleteGateway
删除按量付费的云原生网关
否
服务来源相关
Action
权限说明
是否为只读类权限
ListServiceSource
查询服务来源列表
是
GetKubernetesSource
查询已有的ACK集群
是
GetMseSource
查询已有的MSE注册中心
是
AddServiceSource
关联服务来源
否
DeleteServiceSource
解绑服务来源
否
PullServices
查询已有的服务列表
是
ImportServices
创建或导入服务
否
ListGatewayService
查询已订阅服务列表
是
GetGatewayServiceDetail
查询服务详情
是
AddGatewayServiceVersion
添加服务版本
否
UpdateGatewayServiceVersion
更新服务版本
否
DeleteGatewayServiceVersion
删除服务版本
否
UpdateGatewayServiceTrafficPolicy
修改服务负载均衡策略
否
路由相关
Action
权限说明
是否为只读类权限
ListGatewayRoute
查询网关路由列表
是
AddGatewayRoute
创建网关路由
否
ApplyGatewayRoute
发布网关路由
否
OfflineGatewayRoute
下线网关路由
否
DeleteGatewayRoute
删除网关路由
否
GetGatewayRouteDetail
查询路由详情
是
GetRateLimit
查询路由限流配置
是
AddRateLimit
增加路由限流配置
否
UpdateRateLimit
删除路由限流配置
否
UpdateGatewayRouteHTTPRewrite
更新路由重写策略
否
UpdateGatewayRouteHeaderOp
更新路由Header设置
否
UpdateGatewayRouteCORS
更新路由跨域策略
否
UpdateGatewayRouteTimeout
更新路由超时策略
否
UpdateGatewayRouteRetry
更新路由重试策略
否
证书域名相关
Action
权限说明
是否为只读类权限
ListGatewayDomain
查询关联域名列表
是
AddGatewayDomain
关联域名
否
GetGatewayDomainDetail
查询域名关联详情
是
UpdateGatewayDomain
更新域名关联信息
否
DeleteGatewayDomain
解绑关联域名
否
ListSSLCert
查询已有证书
是
AddSSLCert
关联域名证书
否
UpdateSSLCert
更新域名证书
是
其他
Action
权限说明
是否为只读类权限
GetBlackWhiteList
查询黑白名单
是
AddBlackWhiteList
添加黑白名单
否
UpdateBlackWhiteList
更新黑白名单
否
AddGatewayAuth
添加鉴权
否
ListGatewayAuth
查询鉴权列表
是
UpdateGatewayAuth
更新鉴权
否
DeleteGatewayAuth
删除鉴权
否
AddAuthResource
添加鉴权Path
否
DeleteAuthResource
删除鉴权Path
否
- 本页导读 (1)