如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍企业级分布式应用服务使用自定义权限策略示例。
EDAS内置权限管理和RAM权限管理
EDAS内置了一套权限管理系统,有接入了阿里云访问控制RAM(Resource Access Management)的权限管理。
RAM权限管理操作,请参见RAM简介。
EDAS内置权限管理操作,请参见管理EDAS内置权限(不推荐)。
为了能够统一管理EDAS和其他阿里云产品的权限,推荐您使用RAM权限管理。EDAS也提供了将内置的权限管理迁移至RAM权限管理的方案。具体操作,请参见将EDAS内置的权限管理切换为RAM权限管理。
EDAS内置权限管理模式下,阿里云账号如果要对子账号进行权限管理,需要登录EDAS控制台,为子账号分配EDAS的权限和资源。迁移至RAM后,阿里云账号在EDAS控制台无法再为子账号授权,需要登录到RAM控制台为子账号授予EDAS的相关权限。
EDAS目前处于EDAS内置权限管理与RAM权限管理共存的过渡状态,目前您的RAM用户或子账号所使用的权限管理规则如下:
未使用过EDAS内置权限管理的子账号,直接使用RAM权限管理,不能再使用EDAS内置权限管理。
使用过EDAS内置权限管理的子账号:
拥有RAM中AliyunEDASFullAccess权限的子账号,直接使用RAM鉴权,不再开放EDAS内置鉴权。
使用过EDAS内置权限管理的子账号,建议手动切换为RAM鉴权,具体操作,请参见将EDAS内置的权限管理切换为RAM权限管理。如果不做任何改动,可继续使用EDAS内置鉴权。
步骤一:生成EDAS的权限策略
您可以参见以下三种方式来查看或生成EDAS的权限策略。
无论您使用了RAM权限还是EDAS内置权限,都可以在权限策略示例库中来查找您想授予的权限策略。更多信息,请参见权限策略示例库。
本文仅介绍简单的场景下如何操作。更多信息,请参见使用EDAS权限助手生成权限策略。
登录EDAS控制台。
在左侧导航栏选择。
在权限助手页面单击创建权限策略。
在创建权限策略配置向导中设置权限策略参数。
在创建自定义权限策略页签配置权限策略参数,然后单击下一步。
参数
描述
策略名称
自定义的策略名称。
备注
权限策略的备注信息。
新增权限语句
单击新增权限语句。
在加授权语句面板设置权限效力和操作与资源授权,然后单击确认。
在添加权限策略时,同时只能选择允许或拒绝中的一种权限效力。
在创建自定义权限策略页签内的权限策略列表的操作列根据需求克隆、编辑或删除权限。
在策略预览页签预览权限策略,并在权限策略文本框的右上角单击复制,然后在面板下方单击完成。
控制台面板将会提示新增策略授权成功,单击返回列表查看可查看和管理新建的权限策略。
在授权策略区域复制生成的授权策略。
如果您已经使用EDAS内置权限管理完成了账号授权,可以在EDAS控制台直接将配置的权限转换为RAM权限策略。
登录EDAS控制台。
在左侧导航栏选择。
在子账号页面选择添加了EDAS内置权限的子账号,在RAM鉴权列单击生成RAM权限策略。
在弹出的RAM权限策略对话框复制权限策略,然后单击确定。
步骤二:创建权限策略
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
输入权限策略内容。
在策略内容文本框内输入步骤一:生成EDAS的权限策略中生成的权限策略。
在创建权限策略对话框,输入权限策略名称和备注,然后单击确定。
步骤三:创建RAM用户并添加授权
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击创建用户。
在创建用户页面的用户账号信息区域,设置用户基本信息。
登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。
显示名称:最多包含128个字符或汉字。
标签:单击
,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。
单击添加用户,可以批量创建多个RAM用户。
在访问方式区域,选择访问方式,然后设置对应参数。
为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。
控制台访问
如果RAM用户代表人员,建议启用控制台访问,使用用户名和登录密码访问阿里云。您需要设置以下参数:
控制台登录密码:选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码强度。
密码重置策略:选择RAM用户在下次登录时是否需要重置密码。
多因素认证(MFA)策略:选择是否为当前RAM用户启用MFA。启用MFA后,还需要绑定MFA设备。更多信息,请参见为RAM用户绑定MFA设备。
使用永久AccessKey访问
如果RAM用户代表应用程序,您可以使用永久访问密钥(AccessKey)访问阿里云。启用后,系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息,请参见创建AccessKey。
RAM用户的AccessKey Secret只在创建时显示,不支持查看,请妥善保管。
访问密钥(AccessKey)是一种长期有效的程序访问凭证。AccessKey泄露会威胁该账号下所有资源的安全。建议优先采用STS Token临时凭证方案,降低凭证泄露的风险。更多信息,请参见使用访问凭据访问阿里云OpenAPI最佳实践。
单击确定。
返回用户页面,在用户列表中目标RAM用户的操作列单击添加权限。
在新增授权面板内设置权限,然后单击确认新增授权。
参数
描述
参数
描述
授权范围
包含整个云账号和指定资源组。请根据实际需求选择授权范围。
授权主体
会自动填入当前RAM用户的登录名称。
选择权限
选择自定义策略,然后在搜索框内搜索设置的权限策略名称,在权限策略名称区域单击搜索出来的策略名称,即可选中策略。
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
步骤四:在EDAS控制台将授权切换为RAM授权
登录EDAS控制台。
在左侧导航栏选择。
在子账号页面目标子账号的RAM鉴权列单击切换到RAM。
已经使用了RAM授权的子账号,操作列的按钮将无法单击。
仍使用EDAS内置授权的子账号,可以选择切换到RAM授权,切换后将无法重新使用EDAS内置授权。
切换到RAM授权时,EDAS会预先判断该子账号是否已经在RAM控制台授予了EDAS的权限。
如果已经完成了RAM授权,在弹窗中单击确定,即可成功切换为RAM鉴权。
若子账号没有在RAM控制台被授予EDAS权限,将提示前往RAM控制台完成授权。
授权信息参考
使用自定义权限策略,您需要了解业务的权限管控需求,并了解企业级分布式应用服务的授权信息。详细内容请参见授权信息。
- 本页导读 (1)
- EDAS内置权限管理和RAM权限管理
- 步骤一:生成EDAS的权限策略
- 步骤二:创建权限策略
- 步骤三:创建RAM用户并添加授权
- 步骤四:在EDAS控制台将授权切换为RAM授权
- 授权信息参考
