全部产品

权限策略

SOFAStack 的权限管理是通过阿里云的访问控制 RAM(Resource Access Management)产品实现的。使用 RAM 可以让您避免与其他用户共享云账号密钥,即 AccessKey(包含 AccessKeyId 和 AccessKeySecret),按需为用户分配最小权限。本文介绍 SOFAStack 在 RAM 中的权限策略。

在 RAM 中,权限策略是用权限策略语法和结构描述的一组权限的集合,可以精确地描述被授权的 Resource(资源集)、Action(操作集)以及授权条件。

说明
  • 目前,SOFAStack 暂未细化资源粒度的权限策略,各资源维度的策略定义将在后续开放。

  • 如何为 RAM 用户授权,请参见 为 RAM 用户授权

系统策略

SOFAStack 目前提供以下几种系统默认的权限策略。

说明

随着产品功能演进,系统提供的权限策略内容会不断更新,请以控制台实际页面为准。

  • AliyunSOFAFullAccess:SOFAStack 管理员权限。被授予该权限的 RAM 用户具有 SOFAStack 中所有资源的操作权限。

    策略如下:

    {
         "Version":"1",
         "Statement":[
            {
              "Action":"sofa:*",
              "Effect":"Allow",
              "Resource":"*"
            }
        ],
    }
  • AliyunSOFAReadOnlyAccess:SOFAStack 只读权限。被授予该权限的 RAM 用户仅具备通过访问控制台或调用管控 API 读取 SOFAStack 所有资源的权限。

    策略如下:

    {
         "Version":"1",
         "Statement":[
                {
                    "Action":[
                            "sofa:Get*",
                            "sofa:List*",
                            "sofa:Query*",
                            "sofa:Find*",
                            "sofa:Exist*",
                            "sofa:Count*"
                    ],
                   "Resource":"*",
                   "Effect":"Allow"
                }
         ]
    }
  • AliyunSOFAMiddlewareObserverAccess:中间件观察者权限。被授予该权限的 RAM 用户仅具备 SOFAStack 中间件产品的查看权限,如查看微服务配置、调度任务、消息主题等。拥有该系统角色不能做配置操作、删除等。策略详情请参见 AliyunSOFAMiddlewareObserverAccess
  • AliyunSOFAMiddlewareDeveloperAccess:中间件开发者权限。被授予该权限的 RAM 用户仅具备 SOFAStack 中间件产品的操作权限,如限流配置增加、任务触发等。 该角色不具备一些高危操作权限,如删除配置等。策略详情请参见 AliyunSOFAMiddlewareDeveloperAccess
  • AliyunSOFAMiddlewareAdministratorAccess:中间件管理员权限。被授予该权限的 RAM 用户具备 SOFAStack 中间件产品的所有权限,如增加、删除配置等。策略详情请参见 AliyunSOFAMiddlewareAdministratorAccess

系统角色

开通 SOFAStack 时默认会添加系统角色 AliyunSofaCafeCasDefaultRole,该角色默认的权限策略 AliyunSofaCafeCasRolePolicy 定义了 SOFAStack 产品拥有访问阿里云基础资源的权限,例如 ECS、VPC、SLB、OSS、RAM 等,在开通 SOFAStack 时经用户同意取得授权。策略详情请参见 AliyunSofaCafeCasRolePolicy