在协同使用资源的场景下,根据实际的职责权限情况,您可以创建多个RAM用户并为其授予不同的权限,实现不同RAM用户可以分权管理不同的资源,从而提高管理效率,降低信息泄露风险。本文介绍如何创建RAM用户并授予特定权限策略,从而控制对Prometheus实例的访问。
前提条件
步骤一:为RAM用户添加系统权限策略
该步骤是为了让RAM用户具备登录Prometheus控制台的权限。
- 使用阿里云账号或RAM管理员登录RAM控制台。
- 在左侧导航栏,选择。
在用户页面,单击目标RAM用户操作列的添加权限。
在弹出的添加权限页面,根据下表说明为RAM用户添加权限。
参数
说明
授权范围
授权应用范围为整个云账号,权限在当前阿里云账号内生效。
授权主体
指定授权主体,即需要添加权限的RAM用户。
选择权限
选择系统策略为AliyunARMSPrometheusAccessAuth。
单击确定,然后单击完成。
步骤二:创建自定义权限策略
- 使用阿里云账号或RAM管理员登录RAM控制台。
在左侧导航栏,选择权限管理,然后单击权限策略。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签,在策略文档中编写您的授权策略内容,策略内容参考如下示例:华东1(杭州)地域资源类型为Prometheus实例的各操作权限。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "arms:List*", "arms:Get*", "arms:Update*", "arms:Exe*", "arms:Create*", "arms:Del*", "arms:Add*", "arms:Check*", "arms:Delete*", "arms:Restart*", "arms:HealthCheck*", "arms:BindPrometheus*", "arms:install*" ], "Resource": "acs:arms:cn-hangzhou:*:prometheus/*" } ] }编写完授权策略内容之后,单击继续编辑基本内容,然后输入权限策略名称和备注,其中策略名称可以自行命名。
单击确定。
步骤三:为RAM用户添加自定义权限策略
步骤四:权限验证
为RAM角色添加权限策略后,您可以使用RAM角色登录ARMS控制台验证。具体操作,请参见管理RAM用户登录设置。
进入控制台后,选择Prometheus 监控,单击实例列表。
在实例列表页面,单击
查看被授权资源组的资源列表。
说明对于未授权的资源组,在查看时会提示没有权限,单击关闭即可。
相关操作
推荐使用资源组通过上述方式完成对Prometheus资源的精细粒度分权。
如果您在实际使用过程中,同时需要通过标签来完成分权,可以修改步骤二的自定义策略,添加Condition来完成,如下权限策略所示为具备拥有owner:zaifeng标签的Prometheus实例的权限。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "arms:List*", "arms:Get*", "arms:Update*", "arms:Exe*", "arms:Create*", "arms:Del*", "arms:Add*", "arms:Check*", "arms:Delete*", "arms:Restart*", "arms:HealthCheck*", "arms:BindPrometheus*", "arms:install*" ], "Resource": "acs:arms:*:*:prometheus/*", "Condition": { "StringEquals": { "acs:RequestTag/owner": [ "zaifeng" ] } } } ] }如果您通过标签完成分权,在控制台的操作顺序如下:
在首次进入Prometheus实例列表时,会提示权限不足。
说明原因是未选择具体的标签,鉴权不通过。
选择具体的标签后,便可以查看实例列表。
此处选择的标签需要和自定义权限策略中定义的标签匹配。
