帮助文档
搜全部 搜本产品
全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
开放搜索

授权访问鉴权规则

更新时间:2018-01-03 10:16:55

您通过云账号创建的OpenSearch应用,都是该账号自己拥有的资源。默认情况下,账号对自己的资源拥有完整的操作权限。

使用阿里云的RAM(Resource Access Management)服务,您可以将您云账号下OpenSearch资源的访问及管理权限授予RAM中子用户。

【特别注意】

  • RAM 子账号功能只支持V3 及以上API(SDK)版本,V2 版API(SDK)不支持 RAM子账号功能。
  • 第三方数据源产品要严格遵守 RAM 权限体系,需要在第三方产品赋予子帐号对应权限,ODPS 数据源不支持 RAM 鉴权,需要用户自行与 ODPS 团队沟通完成子账户授权

  • 使用RAM子账号在控制台中配置rds数据源,必须要再对该RAM子账号进行数据源相关权限授权,否者会报“连接RDS服务失败,请稍后再试”,参考下面的 “RDS 访问授权”

  • 以“:Search”开头的 ACTION 暂不支持 IP条件鉴权,在配置后会有问题,需注意(主要是“:SearchApp”和“:SearchSuggest”这2个)。

权限设置及更新生效时间

对子用户设置或更新权限配置后,延迟5分钟后生效。

RDS 访问授权

访问 RDS 有两个接口,tables 和 fields。由于访问 RDS 需要添加白名单,因此还需要再为 RAM子账号设置白名单权限(若没有该权限,连接RDS时,会报“设置 RDS 的 IP 白名单失败”)。RDS 的授权直接在 RAM控制台 配置,可以在概览页配置自定义授权策略或者角色,然后在用户管理页面对子账号进行授权。RDS 的授权详情

OpenSearch 使用 RDS 授权的最小集合:

  • Resource 中的变量含义(例如: $regionid,$accountid,$dbinstanceid 等)
  • Resource 中的内容也可以使用通配符“*”来表示
  1.    {
  2.      "Version": "1",
  3.      "Statement": [
  4.        {
  5.          "Action": "rds:DescribeDBInstanceAttribute",
  6.          "Resource": "acs:rds:$regionid:$accountid:dbinstance/$dbinstanceid",
  7.          "Effect": "Allow"
  8.        },
  9.        {
  10.          "Action": "rds:ModifySecurityIps",
  11.          "Resource": "acs:rds:$regionid:$accountid:dbinstance/$dbinstanceid",
  12.          "Effect": "Allow"
  13.        }
  14.      ]
  15.    }

子用户权限参考

在确定要为子用户赋予某些需要操作的应用后,子用户正常登录控制台通常需要依赖多种action权限组合,可以考虑赋予子用户 Describe*,List* 权限,当然也可以根据您的实际需求为子用户赋予某些特定的权限组合

授权样例参考(1)

给accountId为1234的主账号下的某个子账号赋予所有区域、所有应用的所有操作权限,该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。

1、创建一个策略

  1. {
  2.   "Statement": [
  3.     {
  4.       "Action": [
  5.         "opensearch:*"
  6.       ],
  7.       "Effect": "Allow",
  8.       "Resource": [
  9.         "acs:opensearch:*:1234:apps/*"
  10.       ]
  11.     }
  12.   ],
  13.   "Version": "1"
  14. }

2、把当前策略授权给您指定的子账号

授权样例参考(2)

给accountId为1234的主账号下的某个子账号赋予华东1区域(cn-hangzhou)、所有应用的所有操作权限,该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。

1、创建一个策略

  1. {
  2.   "Statement": [
  3.     {
  4.       "Action": [
  5.         "opensearch:*"
  6.       ],
  7.       "Effect": "Allow",
  8.       "Resource": [
  9.         "acs:opensearch:cn-hangzhou:1234:apps/*"
  10.       ]
  11.     }
  12.   ],
  13.   "Version": "1"
  14. }

2、把当前策略授权给您指定的子账号

  • 每一行Action 权限都必须对应所在行的 resource格式,例如下面,前2行的Action作用范围只能是所有应用,因此用 * 号表示,不能指定为某个应用名。
  • 不同的 resource 资源格式描述,需单独再对该resource 资源进行授权,例如下表中的前2行和后续的 resource 资源格式描述是不同的

RAM中可对Opensearch 应用资源进行授权的Action

Action Action Descripe 对应resource
opensearch:ListApp app列表权限 acs:opensearch:$regionId:$accountId:apps/*
opensearch:CreateApp 创建app权限,不限制app name acs:opensearch:$regionId:$accountId:apps/*
opensearch:DescribeApp app详情权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DeleteApp 删除app权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:UpdateApp app更新权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:SetCurrent 多版本应用切换当前版本服务app acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ReindexApp app索引重建权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:PushDoc app推送文档权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:SearchApp app 查询权限,SearchApp Action鉴权暂不支持ip条件鉴权 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DescribeFirstRank 粗排详情权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:WriteFirstRank 粗排创建,修改,删除权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ListFirstRank 粗排列表权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DescribeSecondRank 精排详情权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:WriteSecondRank 精排创建,修改,删除权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ListSecondRank 精排列表权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:WriteDataSource 数据源创建,修改,删除权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ListDataSource 数据源列表权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DescribeDataSource 数据源详情权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:WriteSummary 摘要创建,修改,删除权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ListSummary 摘要列表权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DescribeSuggest 下拉提示详情权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:WriteSuggest 下拉提示创建,修改,删除权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:SearchSuggest 下拉提示搜索权限,SearchSuggest Action鉴权暂不支持ip条件鉴权 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ReindexSuggest 下拉提示索引重建权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ListSuggest 下拉提示列表权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:WriteQueryProcessor qp创建,修改,删除权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ListQueryProcessor qp 列表权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DescribeQueryProcessor qp 详情页权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DescribeTask 任务详情权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:WriteTask 任务创建,修改,删除权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ListTask 任务列表权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:ListLog 日志列表权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DescribeQuota quota详情权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:WriteQuota quota扩容权限 acs:opensearch:$regionId:$accountId:apps/$appName
opensearch:DescribeIndex 全量导入进度权限 acs:opensearch:$regionId:$accountId:apps/$appName
相关文档
相关产品
本文导读目录