云速搭CADT原生支持阿里云RAM访问控制和资源管理体系,通过权限管理,您可以方便地实现对CADT及其应用和模板的权限管控。
功能介绍
在云速搭CADT权限管理页面,可以方便地实现创建用户、创建资源组、用户授权及资源组授权操作。
云速搭CADT的权限管理功能只支持主账号。
创建RAM用户:通过创建新的RAM用户并授权,RAM用户便可以访问相关资源。
创建资源组:通过创建资源组,可以实现根据业务部门、项目等维度进行云资源的分组管理。
为RAM用户授权:为RAM用户授权后,RAM用户可以访问相应的阿里云资源
添加RAM身份并授权:完成授权后,被授权的主体将获得当前资源组内资源的相应权限。
接下来,我们以一个简单的实践操作向您介绍CADT权限管理的应用场景和使用方法。
场景模拟
假设在CADT中我们创建了两个应用:app-test、app-dev,现在需要将这两个应用分别授予对应的用户进行操作,例如,授予开发人员(cadt-dev001)有且只拥有应用app-dev的操作权限,授予测试人员(cadt-test001)有且只拥有应用app-test的操作权限。
前提条件
为了完成上述操作场景,我们需要通过CADT提前创建好两个应用app-test、app-dev,操作方法可以参见创建自定义应用,创建好的应用如下图所示:
步骤一:创建用户
首先需要创建两个RAM用户,分别代表开发人员(cadt-dev001)和测试人员(cadt-test001)。
(主账号)登录云速搭CADT管理控制台。
通过菜单栏下的管理>权限管理,进入权限管理页面。
说明云速搭CADT权限管理功能只面向主账号开放。
在权限管理页面,单击创建用户。
按照标签顺序依次填写创建开发人员(cadt-dev001),完成以下配置,并单击确定。
以同样方式创建测试人员(cadt-test001)。
两个RAM用户创建完成后如下图所示:
步骤二:创建资源组
本文创建两个资源组:开发环境(dev)和测试环境(test),分别对应开发人员和测试人员的操作环境,实现资源的隔离。
在CADT权限管理页面单击创建资源组。
按照标签顺序依次填写创建开发环境(dev)资源组,完成以下配置,单击确定。
以同样方式创建测试环境资源组(test)。
完成后,在CADT权限管理页面可以看到新创建的两个资源组,如下图所示:
步骤三:RAM用户和资源组授权
完成RAM用户和资源组创建后,接下来需要授予RAM用户对特定资源组中云资源的操作权限。
在CADT权限管理页面单击用户授权或资源组授权均可。以“用户授权”为例:
选定指定用户,例如开发人员cadt-dev001,单击添加权限。
在添加权限页面,完成以下配置,并单击确定。
授权范围:指定资源组,这里选择创建的“开发环境”(对应开发人员cadt-dev001)。
授权主体:开发人员cadt-dev001
选择权限:CADT系统策略介绍请参见CADT系统策略及使用方法介绍,如果系统权限策略不能满足您的需求,可以通过创建CADT自定义权限策略实现精细化权限管理。
本示例作为演示,授予cadt-dev001对CADT的管理权限。
以同样方式,完成测试人员cadt-test001的授权。
步骤四:CADT应用授权
完成RAM用户和资源组授权后,最后需要将CADT应用添加到对应的资源组,这样处于同一资源组的用户才有权限操作对应的CADT应用。
在CADT权限管理页面找到对应的资源组,例如开发环境资源组(dev),单击添加授权。
在添加授权页面,按照标签顺序打开我的应用选择需要授权的应用或模板进行授权,这里选择应用app-dev,单击授权。
完成授权后,可以看到如下图所示页面:
以同样方式,将应用app-test添加到资源组测试环境(test)中:
步骤五:结果验证
完成以上操作后,接下来验证开发人员(cadt-dev001)有且只拥有应用app-dev的操作权限,测试人员(cadt-test001)有且只拥有应用app-test的操作权限。
在主账号RAM控制台的概览页面记录用户登录地址。
通过其他浏览器或无痕模式,打开上一步记录的用户登录地址,输入用户名和密码进行登录。例如登录开发人员(cadt-dev001):
登录CADT,可以看到当前开发人员(cadt-dev001)只有开发环境的权限(符合验证结果),并切换到开发环境。
打开应用 > 我的应用页面,可以看到当前开发人员(cadt-dev001)账号下有且只能看到应用app-dev,验证结果正确。
以同样方式验证测试人员(cadt-test001)账号,验证结果正确。