当您需要精细化地管理用户权限时,可通过创建自定义权限策略实现。创建时,需要配置Action(操作)和Resource(资源)。本文提供了阿里云Elasticsearch Serverless通过访问控制实现团队或者部门成员鉴权、RAM用户授权、RAM角色授权以及跨云服务授权的Action和Resource列表。

背景信息

默认情况下,阿里云主账号或者RAM用户均能使用Elasticsearch Serverless控制台或Elasticsearch Serverless API操作自己创建的Elasticsearch Serverless资源。在以下场景中,会涉及到操作授权问题:
  • 刚创建的RAM用户没有权限操作阿里云主账号的资源时。
  • 从其他阿里云服务访问Elasticsearch Serverless资源,或者Elasticsearch Serverless访问其他阿里云服务时。
  • 操作具有权限控制的Elasticsearch Serverless资源前,需要资源拥有者授权目标资源和目标API行为权限。

自定义策略

您可以通过RAM控制台或者调用RAM API CreatePolicy创建一个自定义权限策略。

使用控制台的脚本配置方式,在自定义策略中,根据JSON模板文件填写策略内容。其中的ActionResource参数取值为本文授权资源列表中对应的参数值。详细信息,请参见创建自定义权限策略权限策略基本元素
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "es-serverless:[ElasticSearchServerless RAM Action]",
        "es-serverless:CreateApp"
      ],
      "Resource": [
        "[ElasticSearchServerless RAM Action Resource]",
        "acs:es-serverless:cn-hangzhou:133071096032****:apps/app-name-****"
      ]
    }
  ],
  "Version": "1"
}

授权资源列表

应用管理

Action Resource Action描述
es-serverless:CreateApp acs:es-serverless:<yourRegionId>:<yourAccountId>:apps/* 创建应用。
es-serverless:ListApps 获取应用列表。
es-serverless:DeleteApp acs:es-serverless:<yourRegionId>:<yourAccountId>:apps/<appName> 删除应用。
es-serverless:UpdateApp 更新应用。
es-serverless:GetApp 查询指定应用的详细信息。

数据流管理

Action Resource Action描述
es-serverless:ListDataStreams acs:es-serverless:<yourRegionId>:<yourAccountId>:apps/* 获取应用数据流列表。
es-serverless:CreateDataStream 创建数据流。
es-serverless:DeleteDataStream acs:es-serverless:<yourRegionId>:<yourAccountId>:apps/<appName> 删除数据流。
es-serverless:UpdateDataStream 更新数据流。
es-serverless:GetDataStream 获取数据流详情。

应用Token管理

Action Resource Action描述
es-serverless:GenerateAcccessToken acs:es-serverless:<yourRegionId>:<yourAccountId>:tokens/* 生成一个有效的应用Token。
es-serverless:ListAccessTokens 获取应用Token列表。
es-serverless:DeleteAccessToken acs:es-serverless:<yourRegionId>:<yourAccountId>:tokens/<tokenId> 删除应用Token。
es-serverless:EnableAccessToken 启用应用Token。
es-serverless:DisableAccessToken 失效应用Token。