列表鉴权功能默认开启,当RAM用户登录EDAS对相关资源进行List操作时,系统将进行RAM鉴权并只返回具有相关权限的资源访问结果。
背景信息
涉及微服务空间列表页、集群列表页、应用列表页的所有列表操作,例如:
创建应用时,选择微服务空间和集群时的相关列表操作。
创建集群时,选择微服务空间的相关列表操作。
查看微服务时,选择微服务空间的相关列表操作。
任务调度页面,选择微服务空间的相关列表操作。
列表鉴权用到的RAM Policy Action如下:
范围 | 权限 |
微服务空间 | edas:ReadNamespace |
集群 | edas:ReadCluster |
应用 | edas:ReadApplication |
只要拥有相关资源读权限的Action,即可在列表页看到该资源。
使用建议
推荐您使用微服务空间-集群-应用三者统一授权的方式进行资源管理。使用时有以下几点建议:
当您授权应用的读权限时,建议同时授予该应用所在集群、微服务空间的读权限。
当您授予集群的读权限时,建议同时授予该集群所在微服务空间的读权限。
考虑到RAM Policy有长度限制,建议您使用通配符授权,例如借助EDAS权限助手来配置某微服务空间下所有应用的操作权限。具体操作,请参见使用EDAS权限助手生成权限策略。
当您的资源数较多时,建议您使用资源组来管理您的资源。具体操作,请参见借助资源组进行权限管理。
说明资源组目前仅覆盖了应用和集群,微服务空间的相关权限依然需要在RAM控制台配置。
关闭列表鉴权
列表鉴权默认打开。可以通过页面的切换列表鉴权按钮进行关闭。
登录EDAS控制台。
在EDAS控制台的菜单内,在页面右上角单击切换列表鉴权。
在弹出的对话框中单击不鉴权,再单击确认完成关闭。
说明关闭鉴权操作有延迟,切换后请等待1分钟,然后再次刷新界面可查看是否生效。
问题处理
当您遇到下述问题时,可根据指导进行处理。
问题一:如果某个应用AppX属于微服务空间nX,RAM用户subAccount拥有AppX的读(Read)权限,但是没有微服务空间nX的Read权限,那在应用列表页能够找到该应用吗?
答:可以。在应用列表页,微服务空间选择所有微服务空间,即可看到该应用。
问题二:选择关闭了列表鉴权,为什么没有成功关闭?
答:关闭操作大约有1分钟的延迟。当您关闭了页面之后,请1分钟后再检查是否成功关闭。
问题三:列表鉴权关闭后,怎么打不开某些资源的详情页了?
答:列表鉴权关闭,并不影响原来的资源鉴权逻辑。列表鉴权关闭后,资源原来的鉴权逻辑依然存在,若子账号没有相关的权限,依然会被限制访问。