Serverless应用引擎SAE(Serverless App Engine)提供权限助手功能,简化SAE相关的RAM权限策略配置。本文介绍如何通过SAE权限助手快速创建权限语句,并在RAM控制台完成最终的权限策略配置。
前提条件
创建RAM用户背景信息
SAE权限助手是一个生成RAM权限策略的工具,能够协助您对SAE的权限进行可视化配置,精确到应用、任务的读写操作,并在SAE控制台生成对应的权限语句,避免因直接在RAM控制台手动编辑权限语句而出现纰漏。然后,您可以在RAM控制台创建对应的自定义权限策略,将权限策略的策略内容修改为该权限语句,并为需要该项SAE权限的RAM用户授予权限。
阿里云账号(主账号)和RAM用户(子账号)均可在SAE控制台通过权限助手创建权限策略草稿,但该策略只有在部署到RAM控制台后,才具备实际的限制能力。
步骤一:在SAE控制台创建权限策略
- 登录SAE控制台。
- 在左侧导航栏,选择。然后在权限助手页面,单击新建权限策略。
- 在新建权限策略面板的权限策略配置配置向导,完成以下操作并单击下一步。
- 单击新增权限语句,在创建权限语句面板完成以下操作并单击完成。
配置项 说明 授权资源 在下拉列表依次选择资源维度。 - 地域:支持单选。
- 命名空间:支持单选。
- 应用或任务:支持多选。
授权操作 在可选权限复选框内选中需要授予的权限,在已选权限预览框内查看已选权限。授权操作的限制如下: - 搜索操作文本框支持模糊搜索,区分英文字母大小写。
- 已选权限复选框默认显示系统默认读权限。
- 读写操作具有联动性,因此在选择读写权限时,系统会自动判断并帮您勾选相关的权限。例如当您在写权限下选中时,系统会自动勾选与其相关的读权限。
您可以在权限策略配置配置向导查看已添加的权限语句,按需执行查看权限、克隆、编辑或删除操作。
说明- 如果您需要对多个命名空间的资源进行权限设置,请新增多条权限语句。
- 如果您需要复制现有的权限语句或在其基础上进行编辑新增,可以单击克隆,进入克隆权限语句面板,按需编辑并新增权限语句。
- 单击新增权限语句,在创建权限语句面板完成以下操作并单击完成。
- 在权限策略预览配置向导,检查生成的权限语句,然后单击完成。您可以单击一键复制,复制的RAM授权语句将用于步骤二:在RAM控制台创建自定义权限策略。控制台面板将会返回权限助手页面,您可以查看新建的权限策略,并按需执行查看权限、一键复制RAM授权语句、编辑和删除等操作。说明
- 通过SAE权限助手生成的权限策略仅适用于操作SAE的资源,且不能超过20条。
- 当SAE上线新功能时,您需要重新生成RAM权限语句,否则可能会导致原有权限策略下的RAM用户不具备该新功能的权限。
步骤二:在RAM控制台创建自定义权限策略
在RAM控制台创建自定义策略时,您需要将权限策略的内容修改为步骤一:在SAE控制台创建权限策略生成的权限语句。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在权限策略页面,单击创建权限策略。
- 在创建权限策略页面,单击脚本编辑页签。
- 输入权限策略内容,然后单击继续编辑基本信息。关于权限策略语法结构的详情,请参见权限策略语法和结构。
- 输入权限策略名称和备注。
- 检查并优化权限策略内容。
- 基础权限策略优化
系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:
- 删除不必要的条件。
- 删除不必要的数组。
- 可选:高级权限策略优化
您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:
- 拆分不兼容操作的资源或条件。
- 收缩资源到更小范围。
- 去重或合并语句。
- 基础权限策略优化
- 单击确定。
步骤三:在RAM控制台为RAM用户添加授权
成功创建自定义权限策略后,您需要在RAM控制台为需要该项权限的RAM用户授权。本文以在用户页面为RAM用户授权的方式为例,操作步骤如下所示。更多方式,请参见为RAM用户授权。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在用户页面,单击目标RAM用户操作列的添加权限。
- 在添加权限面板,为RAM用户添加权限。
- 单击确定。
- 单击完成。