CADT自定义权限策略及使用方法介绍

前提条件

创建自定义策略前，需要先了解权限策略语言的基本结构和语法，请参见权限策略语法和结构。

CADT自定义权限策略介绍

CADT为您提供三种常用自定义权限策略模板，您可以根据实际需要进行配置：

操作示例

创建RAM用户

1. 登录RAM访问控制管理控制台。

2. 创建测试用户“cadt-user”，详细操作请参考创建RAM用户。在左侧导航栏选择身份管理 > 用户，在用户列表中找到已创建的目标RAM用户（例如 cadt-user）。

创建CADT自定义权限策略

1. 创建具有只读权限的自定义权限策略。登录RAM访问控制台，在左侧导航栏选择权限管理 > 权限策略，单击创建权限策略。

2. 在创建权限策略页面，选择脚本编辑，复制只读权限脚本内容到编辑框内，单击继续编辑基本信息。

   说明

   脚本中添加了部分云产品的只读权限，您可以根据自己的实际情况进行适配。

   脚本中包含 OSS 相关权限策略块，Action 包括 oss:PutObject、oss:IsObjectExist、oss:ListObjects、oss:GetObject、oss:DeleteObject、oss:GetBucket，Resource 为 acs:oss:*:*:cnfs-oss*。

3. 请按标签顺序设置权限策略名称，本示例设置为“cadt-read-only”，单击确定。

4. 以同样方式，分别创建具有导入权限（cadt-import）和管理权限（cadt-deploy）的自定义权限策略。创建完成后，在 权限策略 页面筛选 自定义策略，可看到已创建的三个 CADT 自定义权限策略：cadt-read-only、cadt-import 和 cadt-deploy。

只读权限验证

只读权限：只读访问CADT应用和阿里云资源的权限，例如在CADT查看应用、画图；查看ECS IP地址、主机名；RDS数据库地址等信息，用做日常开发测试工作。

1. 作为测试，主账号通过CADT部署一个简单的ECS+EIP应用（cadt-test）。应用 CADT-Test 显示部署成功状态，其架构拓扑包含弹性公网IP（EIP）、专有网络VPC（192.168.0.0/16）、交换机vswitch（192.168.0.0/24）、安全组及ECS实例（2vCPU 4GiB），部署区域为华北2（北京）。

2. 请按照标签顺序依次点击添加只读权限（cadt-read-only）。在 RAM 访问控制的身份管理 > 用户页面，勾选 cadt-user，单击添加权限。在弹出的添加权限面板中，授权范围选择整个云账号，切换到自定义策略页签，选中 cadt-read-only 策略，单击确定完成授权。

3. 点击概览记录登录地址，并登录cadt-user。在RAM访问控制的概览页面，找到基础信息区域的登录地址（格式为 https://signin.aliyun.com/xxx.onaliyun.com/login.htm），单击复制登录地址获取RAM用户登录URL，使用该地址登录RAM用户以验证只读权限。以 RAM 用户 cadt-user 登录阿里云控制台，单击右上角用户头像，确认当前登录身份为 RAM 用户 cadt-user（登录邮箱 cadt-user@xxx.onaliyun.com）。

4. 在CADT控制台我的应用页面可以看到主账号创建的应用cadt-test及其他全部应用。登录后，单击顶部导航栏应用 > 我的应用，可在应用列表中看到主账号已部署的CADT-Test应用，状态为「部署成功」。

5. 按照标签顺序依次点击查看资源详细信息，例如ECS：打开应用可查看部署成功的架构拓扑详情，单击画布中的 ECS 实例可查看实例信息，单击底部前往控制台按钮可跳转到对应云资源控制台。在应用详情中可以查看已部署的 ECS 实例信息，实例状态为运行中，地域为华北2（北京），可用区为北京 可用区K。

6. 可以新建应用、设计架构并进行参数配置，但没有保存应用、部署的权限。ECS详情面板显示实例规格为ecs.c6.large (2c 4g)、支付方式为按量付费、可用区为北京 可用区K等配置。单击右上角保存按钮，页面顶部提示权限不足，无法保存。

导入权限验证

导入权限：支持对阿里云上的资源进行探查、画图并创建应用；支持在CADT创建应用、资源配置、导入已保有资源、资源校验、资源计价和查看报告，不支持部署资源。

1. 通过主账号移除RAM用户（cadt-user）的只读权限，并添加导入权限（cadt-import）。在 RAM 用户 cadt-user 详情页，选择权限管理页签，在个人权限中可确认已授予自定义策略 cadt-import，授权范围为全部资源。

2. 在CADT的权限说明：

   1. 具有资源探查权限：在云速搭 CADT 控制台顶部导航栏，单击资源，在下拉菜单中选择资源探查。CADT 资源探查功能界面包含选择探查资源弹窗，支持通过无标签资源复选框、标签键、标签值、资源组名称等条件筛选，提供按网络和按类型两种视图，下设概览、全局资源、区域资源、专有网络资源、交换机资源页签。表格展示资源类型、资源名称、资源ID、标签及关联对象，底部提供导出报告和生成架构图操作按钮。

   2. 具有创建应用、参数配置、保存为应用的权限：在云速搭 CADT 架构设计界面中，可查看和编辑架构资源。右侧 云服务器ECS 详情 面板支持配置购买方式、可用区、实例规格等参数，修改后顶部标签显示 已修改 状态，保存后右上角提示 保存成功。

   3. 具有资源校验权限：在资源验证弹窗中，5 项云资源（vswitch、华北2(北京)、security_group、eip、ecs）的验证结果均为成功，备注均为"校验通过"，底部状态显示校验成功，可单击下一步: 价格清单继续操作。

   4. 具有计价、查看报告权限：资源校验通过后，价格清单弹窗显示计价成功状态，列出按量付费资源费用明细（ECS、EIP 等），可单击查看报告按钮查看完整报告。

   5. 没有部署资源的权限：确认订单页面显示资源清单（弹性公网IP和云服务器ECS按量付费），状态为计价成功。右上角出现红色权限错误提示"4001：您没有权限使用此功能，请联系主帐号或权限管理员授权相关权限"，可单击添加相关权限链接进行授权。底部单击下一步: 支付并创建按钮进入后续步骤。

   6. 具有导入已保有资源权限：在CADT的专有网络VPC 详情面板中，购买方式选择导入已保有，实例名选择已有VPC实例（实例 ID 部分隐藏），网段显示为 192.168.0.0/16，面板顶部可见部署资源开关。

管理权限验证

管理权限：除具有导入权限外，还有部署资源权限。为防止误操作，降低资源风险，不可使用一键释放功能。但为满足日常运维需求，可以在架构图中逐个删除资源。

1. 通过主账号移除RAM用户（cadt-user）其他权限，并添加导入权限（cadt-deploy）。在 RAM 用户 cadt-user 的权限管理页签下，可看到已授予自定义策略 cadt-deploy，授权范围为全部资源。

2. 除了导入权限的全部权限外，还具有部署资源权限。部署应用后，弹窗提示下单已成功，资源部署正在进行中，等待部署完成，验证该用户已具有部署权限。使用cadt-deploy权限执行部署操作后，页面提示部署成功，架构中的EIP、VPC（192.168.0.0/16）、vswitch（192.168.0.0/24）、安全组及ECS（8vCPU 16GiB）等资源均显示部署成功状态。

3. 没有一键释放全部资源的权限。单击底部工具栏的释放全部资源按钮并在弹出的确认对话框中单击确定，页面右上角提示错误信息"4001: 您没有权限使用此功能，请联系主帐号或权限管理员授权相关权限"，说明当前用户不具备释放全部资源的权限。

4. 具有在架构图中逐个删除资源的权限。

   右键单击目标资源（如ecs实例），在弹出的菜单中选择删除即可逐个删除已部署的资源。例如，ecs实例右下角出现橙色×标记，表示该资源已被标记为待删除状态。添加待删除标志后，按照便签顺序依次点击保存和部署应用，根据提示完成资源的释放：依次单击保存和部署应用完成资源的释放。删除ECS实例后，架构图中仅剩余eip、vpc [192.168.0.0/16]、vswitch [192.168.0.0/24]和空的security_group，eip与vpc之间的连线已断开，说明删除资源的权限验证通过。