列表鉴权功能默认开启,当RAM用户登录EDAS对相关资源进行List操作时,系统将进行RAM鉴权并只返回具有相关权限的资源访问结果。
背景信息
涉及微服务空间列表页、集群列表页、应用列表页的所有列表操作,例如:
- 创建应用时,选择微服务空间和集群时的相关列表操作。
- 创建集群时,选择微服务空间的相关列表操作。
- 查看微服务时,选择微服务空间的相关列表操作。
- 任务调度页面,选择微服务空间的相关列表操作。
列表鉴权用到的RAM Policy Action如下:
| 范围 | 权限 |
|---|---|
| 微服务空间 | edas:ReadNamespace |
| 集群 | edas:ReadCluster |
| 应用 | edas:ReadApplication |
说明 只要拥有相关资源读权限的Action,即可在列表页看到该资源。
使用建议
推荐您使用微服务空间-集群-应用三者统一授权的方式进行资源管理。使用时有以下几点建议:
- 当您授权应用的读权限时,建议同时授予该应用所在集群、微服务空间的读权限。
- 当您授予集群的读权限时,建议同时授予该集群所在微服务空间的读权限。
- 考虑到RAM Policy有长度限制,建议您使用通配符授权,例如借助EDAS权限助手来配置某微服务空间下所有应用的操作权限。具体操作,请参见使用EDAS权限助手生成权限策略。
- 当您的资源数较多时,建议您使用资源组来管理您的资源。具体操作,请参见借助资源组进行权限管理。
说明 资源组目前仅覆盖了应用和集群,微服务空间的相关权限依然需要在RAM控制台配置。
关闭列表鉴权
列表鉴权默认打开。可以通过页面的切换列表鉴权按钮进行关闭。
- 在EDAS控制台的菜单内,在页面右上角单击切换列表鉴权。
问题处理
当您遇到下述问题时,可根据指导进行处理。
- 问题一:如果某个应用AppX属于微服务空间nX,RAM用户subAccount拥有AppX的读(Read)权限,但是没有微服务空间nX的Read权限,那在应用列表页能够找到该应用吗?
答:可以。在应用列表页,微服务空间选择所有微服务空间,即可看到该应用。
- 问题二:选择关闭了列表鉴权,为什么没有成功关闭?
答:关闭操作大约有1分钟的延迟。当您关闭了页面之后,请1分钟后再检查是否成功关闭。
- 问题三:列表鉴权关闭后,怎么打不开某些资源的详情页了?
答:列表鉴权关闭,并不影响原来的资源鉴权逻辑。列表鉴权关闭后,资源原来的鉴权逻辑依然存在,若子账号没有相关的权限,依然会被限制访问。