全部产品
云市场

利用标签对 Service 进行分组授权

更新时间:2019-09-18 12:16:42

背景信息

假设您的账号创建了 10 个函数计算的 Service,其中5个想要授权给 dev 团队,另外 5 个授权给 ops团队。企业希望每个团队只能查看被授权的实例,未被授权的不允许查看。

分组授权的前提条件

请确保已拥有RAM账号并可以登录 RAM控制台

分组授权解决方案

创建两个用户组,通过打标签将 Service 分成 2 个组并授权给对应的用户组。

其中 5 个 Service 打上一对标签,标签键是 team,标签值是 dev另外 5 个 Service 打上另一对标签,标签键是 team,标签值是 ops

具体步骤

例如:给dev组授权的自定义策略名称是 policyForDevTeam,策略内容如下:

  1. {
  2. "Statement": [
  3. {
  4. "Action": "fc:*",
  5. "Effect": "Allow",
  6. "Resource": "*",
  7. "Condition": {
  8. "StringEquals": {
  9. "fc:tag/team": "dev"
  10. }
  11. }
  12. },
  13. {
  14. "Action": "fc:*",
  15. "Effect": "Allow",
  16. "Resource": "*"
  17. }
  18. ],
  19. "Version": "1"
  20. }

给dev组授权的自定义策略名称是 policyForOpsTeam,策略内容如下:

  1. {
  2. "Statement": [
  3. {
  4. "Action": "fc:*",
  5. "Effect": "Allow",
  6. "Resource": "*",
  7. "Condition": {
  8. "StringEquals": {
  9. "fc:tag/team": "ops"
  10. }
  11. }
  12. },
  13. {
  14. "Action": "fc:*",
  15. "Effect": "Allow",
  16. "Resource": "*"
  17. }
  18. ],
  19. "Version": "1"
  20. }

这样处于 dev 用户组的 RAM 账号能操作标签为 team: dev 的 Service, 而没有权限操作 标签为 team: ops 的 Service, 反之亦然。