当企业内部有多个阿里云账号(主账号)和RAM用户(子账号)时,需要对Serverless应用引擎SAE(Serverless App Engine)平台的重要功能进行权限收口。例如指定部署某个应用需要审核,通过设定审批流程,对RAM用户的操作权限进行细粒度管控,降低运维风险。本文介绍如何设置权限审批规则、部署需审批权限的应用和管理审批记录。

前提条件

您已完成以下操作:
  1. 已创建应用
  2. 已为RAM用户授权
  3. 已创建联系人。只有联系人才能成为审批人。

设置审批规则

阿里云账号通过设置审批规则,能够从地域、命名空间和应用维度管理审批人与被审批人的权限范围。

  1. 登录SAE控制台
  2. 在左侧导航栏,选择企业级特性 > 权限管理
  3. 在左侧导航栏,单击审批设置,然后在审批设置页面,单击新建审批设置
  4. 新建审批设置面板,配置相关参数。sc_create_approval_rules
    1. 审批范围设置
      • 资源:在下拉列表依次选择地域命名空间应用。其中应用列表支持多选。
      • 操作类型:发布变更,包括发布应用回退历史版本两种行为。
    2. 白名单设置
      免审批子账号白名单:在下拉列表中选择目标RAM用户。目标账号支持多选和模糊搜索。

      白名单内的RAM用户可以直接操作审批范围内的应用,无需审批人的审批。

    3. 审批人设置
      审批人:在下拉列表中选择目标账号。
      • RAM用户
      • 阿里云账号
      说明
      • 审批人默认无需操作审批。
      • 只有联系人才可以成为审批人。如果下拉列表中没有您所需的账号,单击联系人管理添加。具体操作,请参见联系人管理
      • 阿里云账号默认为所有规则的审批人,能够收到所有审批通知并操作所有审批记录。若阿里云账号不被选中,则不会收到审批通知,但仍能进行审批操作。
  5. 单击确定
    审批设置成功后,在审批设置页面的列表中会新增一条审批规则。1个命名空间占1条记录,您可以设置多个审批人免审批子账号pg_approval_records
  6. 可选:审批设置页面,选择目标记录进行设置。
    • 编辑:在操作列单击编辑,在更改审批设置面板修改相关参数。

      审批规则修改后的示例说明如下:

      假设某阿里云账号新建了一条审批规则,审批人为A和B。该规则运行了一个月,共产生了10条审批记录,其中还剩3条待审批记录。此时,阿里云账号修改了规则,将审批人B替换为C,其余设置保持不变。此后,新增了5条待审批记录,目前共计8条审批记录。B仍可审批前3条记录,但不可审批后5条记录;C仅可审批后5条记录,不可审批前3条记录。

    • 删除:在操作列单击删除,在弹出的提示对话框单击确认
    说明 审批记录的生效时间,以相关操作触发时刻的审批规则为准;此后对该条审批规则的修改,无法对现有的审批记录生效。更多信息,请参见管理审批记录

部署需审核的应用

阿里云账号是否设置审批规则对部署应用的影响如下:

  • 未设置:RAM用户无需提交部署审批。
  • 已设置:表示指定部署某个或多个应用需要审核,则未获得免审批授权的RAM用户在部署此类应用时,需要申请权限。操作步骤如下所示。
  1. 登录SAE控制台
  2. 在左侧导航栏,选择应用管理 > 应用列表,在顶部菜单栏选择地域,然后单击具体应用名称。
  3. 发布变更。
    • 发布应用
      1. 在应用详情页面的右上角,单击部署应用
      2. 部署应用页面,按需配置参数,然后单击确认。具体操作,请参见单批发布应用分批发布应用灰度发布应用
    • 回退历史版本
      1. 在应用详情页面的右上角,单击回退历史版本
      2. 回退历史版本页面,选择所需的版本并设置发布策略,然后单击确定。具体操作,请参见回退历史版本
  4. 部署应用申请对话框中,按需操作。
    RAM用户提交申请后,阿里云账号或代理审批人账号会收到通知,同时在审批记录页面的待审批页签会新增一条申请记录。db_apply_for_deploying_application
    • 查看审批进度:单击我发起的查看审批进度。具体操作,请参见管理审批记录
    • 设置联系方式:单击联系人管理设置自己的联系方式。在审批通过后,系统会根据已设置的联系方式,给您发送通知。具体操作,请参见联系人管理
  5. 可选:选择以下任一方式查看审批状态。
    • 方式一:在审批记录页面的我发起的页签查看审批状态。
    • 方式二:在应用的变更记录页面查看应用变更详情,查看发布状态。pg_application_changes
  6. 审批通过后,选择以下任一途径进入变更详情页面,并单击右上角的部署应用
    • 方式一:在应用基本信息页面上方会出现以下变更提示,单击查看详情进入变更详情页面。bt_view_details1
    • 方式二:在变更记录页面的操作列,单击查看,进入变更详情页面。bt_view_details2
  7. 验证结果。
    • 方式一:在应用的变更记录页面,查看应用变更详情,查看发布状态。
    • 方式二:在应用基本信息页面的实例部署信息页签,查看实例的运行状态。如果执行状态显示为Running,表示应用部署成功。

管理审批记录

根据账号类型与权限的不同,您可以在审批记录页面,按需查看自己提交的申请及进度、查看待自己审批的申请并进行审批、查看已完成的历史审批任务。

  1. 登录SAE控制台
  2. 在左侧导航栏,选择企业级特性 > 权限管理
  3. 在左侧导航栏,单击审批记录,然后在审批记录页面,按需查看相关记录。
    • 待审批页签。pg_records_waiting for my approval
      • 查看:单击操作列的查看详情,可以在变更详情页面查看申请单的详细信息。
      • 同意:单击操作列的同意或选中多条审批记录并单击批量通过时,系统会弹出提示对话框,单击确认
      • 拒绝:单击操作列的拒绝或选中多条审批记录并单击批量拒绝时,系统会弹出确认审核拒绝对话框,在拒绝原因文本框内输入具体原因,并单击确认

        审批拒绝后,本次变更会立刻终止,发布单状态会变更为执行中止

      • 转交:单击操作列的转交或选中多条审批记录并单击批量转交时,系统会弹出审批转交对话框,在审批人下拉列表中选择目标账号,并单击确认
        说明
        • 转交为单次转交。如果您需要将其设置为固定的审批人,具体操作,请参见设置审批规则
        • 该条操作审批的申请人与现有审批人无法作为转交目标。

        确认提交后,系统会自动通过已设置的联系方式向审批代理人发送审批通知,然后代理人可以按需在审批记录页面查看待审批已处理页签。

    • 已处理页签。pg_processed_records

      您可以在此页签查看已处理的申请记录,包含审批操作命名空间:应用发起人用户名/ID创建时间审批完成时间审批结果

    • 我发起页签。pg_my_applications
      • 催审:在操作列单击催审时,系统会弹出提示对话框,单击确认

        使用催审功能后,审批人会实时收到您的审批通知。为避免频繁打扰审批人,审批通知的间隔至少需要大于5分钟,因此催审功能有静默期。如果仍需要催促审核进度,建议您在5分钟后再次使用该功能,否则会出现报错提示。

      • 撤回:选择以下任一方式撤回申请。
        • 方式一:申请时撤回。在操作列单击撤回

          此时审批状态将变更为已撤回已处理页签的审批结果会同步变更为已撤回,关联的发布单状态也会变更为执行中止

        • 方式二:部署应用时撤回。在应用的变更详情页面,单击右上角的终止变更,在终止变更对话框内单击确定

          此时执行状态将变更为执行中止,关联的审批记录会变更为已撤回

    说明已处理页签的审批结果列和我发起页签的审批状态列,如果审批人填写了拒绝原因,当您把鼠标悬停至已拒绝右侧的问号图标上时,会出现气泡,气泡内会显示具体内容。

更多信息

假设阿里云账号A创建了RAM角色,并将此角色赋予阿里云账号B。在RAM角色授权完成后,阿里云账号B名下的RAM用户,则可以通过扮演RAM角色获取该角色对应的权限,例如设置审批规则、审批操作等。具体操作,请参见为RAM角色授权