全部产品
云市场

子账号管理

更新时间:2019-01-07 11:45:11

EDAS 系统支持阿里云访问控制(Resource Access Management,RAM)的账号体系,主账号可以通过创建 RAM 子账号,避免与其他用户共享账号秘钥,按需为子账号分配最小权限,实现各司其职的高效企业管理。本文主要包含以下内容:

RAM 子账号简介

主账号在使用 EDAS 过程中,通常需要不同身份的用户来做不同类型的工作,如应用管理员(创建应用、启动应用、查删除应用等)、运维管理员(查看资源、查看应用监控、管理报警规则、管理限流降级规则等)等,主账号可以通过给子账号分配不同的角色和资源,来实现分权分责。这种主子账号的权限模式,类似于 Linux 系统中系统用户和普通用户,系统用户可以给普通用户授权、撤销权限。

RAM 子账号说明:

  • RAM 账号由主账号在 RAM 系统中创建,不需要校验合法性,名字在主账号内唯一即可。
  • 不同于一般的阿里云账号登录,RAM 账号有独特的登录入口,入口在 RAM 控制台中有说明。

创建 RAM 子账号

请按以下操作完成子账号创建:

  1. 登录 RAM 控制台

  2. 在左侧导航栏中单击用户管理

  3. 用户管理页面右上角单击新建用户

  4. 创建用户对话框设置用户参数,单击确定

    在用户管理页面能看到新建的用户名,则表示一个 RAM 用户创建成功。

    注意: 登录名要求在主账号内唯一。

  5. 设置 RAM 子账号的登录密码。

    1. 返回用户管理页面,单击登录名/显示名

    2. 用户详情页面中的Web 控制台登录管理区域单击启用控制台登录

    3. 在弹出的对话框中输入新密码确认密码,勾选要求该账号下次登录成功后重置密码,然后单击确定

完成以上步骤后,一个可以登录控制台的 RAM 用户就创建成功了。

RAM 子账号登录 EDAS 控制台

RAM 用户登录 EDAS 控制台步骤如下:

  1. 在 RAM 控制台的概览页,单击 RAM 用户登录链接右侧的URL。

    说明:不同的主账号创建的 RAM 账号的登录链接 URL 是不同的。

  2. RAM 用户登录页面输入子账号,单击**下一步。

  3. 欢迎<子账号>页面输入登录密码,然后单击登录

说明:如果主账号在创建子账号时选择了要求该账号下次登录成功后重置密码,那么子账号在第一次登录控制台后,会被要求重置密码。

  1. 进入 RAM 控制台后,单击页面最上方导航栏的产品与服务,找到互联网中间件类目下的企业级分布式应用服务 EDAS 进入 EDAS 控制台。

RAM 账号授权

RAM 账号有两种授权方式:

  • RAM 授权
  • EDAS 授权

这两种方式是互斥的,即当 RAM 账号有了 RAM 授权,那么就不能再在 EDAS 中授权。只有在 RAM 控制台上解除了 RAM 授权,才可以在 EDAS 控制台授权 EDAS 权限。如果 RAM 账号要在 EDAS 授权,那么就不能有 RAM 授权。

RAM 授权的粒度是 EDAS 服务级别的,即 RAM 授权表示允许用户拥有 EDAS 的所有权限。RAM 授权或者解除授权只能在 RAM 控制台上操作。

  • RAM 授权操作步骤如下:

    1. 在 RAM 控制台左侧导航栏单击用户管理

    2. 用户管理页面需要授权的子账号的操作列单击授权

    3. 编辑个人授权策略对话框左侧可选授权策略名称列表的搜索框中输入 EDAS,选择 AliyunEDASFullAccess 并添加到右侧已选授权策略名称列表中,然后单击确定,给该账号授予 EDAS 的所有操作权限。

      授权完成后,用主账号登录 EDAS,在左侧菜单栏选择系统管理 > 子账号,就可以看到这个账号被授予了所有权限、资源、应用。此时在 EDAS 上将无法对此账号进行授权操作。

  • 解除 RAM 授权的步骤如下:

    1. 在 RAM 控制台左侧菜单栏单击用户管理,选择需要授权的用户,单击该用户的操作中的授权

    2. 将右边栏中的 AliyunEDASFullAccess 移至左边,单击确定

      授权解除后,用主账号登录 EDAS,在左侧菜单栏选择账号管理 > 子账号管理 可以看到这个账号被取消了所有资源和权限。此时就可以在 EDAS 上对此账号进行授权操作了。

没有授予 EDAS 操作权限的 RAM 用户可以在 EDAS 中进行管理角色、管理资源组、授权应用等操作,但是不能在 EDAS 解绑。

  • 管理角色

    主账号可以通过将角色授权给子账号,使子账号拥有该角色里的权限。管理角色步骤如下:

    1. 在 EDAS 控制台左侧菜单栏单击账号管理 > 子账号,在要授权的子账号右侧操作选项中选择管理角色

    2. 在全部角色区域选择需要授权的角色,单击 > 添加到已选角色区域,然后单击确定

    在左侧导航栏选择账号管理 > 角色,在角色页面就可以看到授权的角色名称。

  • 授权应用

    主账号可以通过将应用授权给子账号,使子账号拥有对该应用的所属权限。授权应用步骤与管理角色步骤相似,在此不赘述。

    注意:授权应用后,只是表明子账号对应用有所属权限,至于对该应用的具体操作,如应用启动、删除应用等,需要通过授权角色来授予操作的权限。所以授权应用后,一般需要授权相应角色,才能使子账号对该应用有操作权限。

  • 授权资源组

    主账号通过授权资源组,可以使子账号拥有对相应资源的使用权。资源组的概念请参考资源管理。授权资源组的步骤与管理角色步骤相似,在此不赘述。

解绑 RAM 账号

  1. 登录 RAM 控制台

  2. 单击左侧菜单栏的用户管理

  3. 用户管理页面要解绑的用户的操作列单击删除