如何给子账号授予SAE的权限?

本文介绍使用SAE时,阿里云账号(主账号)如何给RAM用户(子账号)授予所需的权限。

问题现象

使用SAE资源时,提示如下关于权限的现象。
  • 提示没有权限。
  • 访问提示权限不足。
  • 给子账号开通serverless的权限。

问题原因

RAM用户(子账号)未被授予操作某项资源的权限。

解决方案

使用SAE会涉及到两类权限。
  • 类型一:SAE本身的权限,包括SAE资源的查看、变更等。
  • 类型二:其他云产品的权限。因为SAE是一个PaaS平台,所以如果想要完整使用SAE,还会涉及到其他一些云产品的权限,包括SLB、VPC、资源包等。

针对不同权限,具体的解决方案如下。

针对SAE本身的权限

  • 如果不需要精细化的权限控制,您可以在RAM控制台为RAM用户(子账号)授权AliyunSAEFullAccess权限或者AliyunSAEReadOnlyAccess权限。更多信息,请参见为RAM用户授权
  • 如果需要进行细粒度的权限管控,您可以借助SAE权限助手生成权限策略配置,并在RAM控制台完成RAM用户授权。更多信息,请参见权限策略和示例SAE权限助手sc_sae_permission_assistant

针对其他云产品的权限

您可以参考如下表格,为RAM用户(子账号)添加相关权限。

权限策略名称

说明

AliyunSAEFullAccess

管理SAE的权限,授权后才能执行应用管理相关的操作。若不需要SAE Full权限,可以通过SAE权限助手进行细粒度定制化权限设置。

AliyunSLBReadOnlyAccess

只读访问SLB的权限,授权后才能使用SLB的相关功能。

AliyunACMFullAccess

管理ACM的权限,授权后才能使用SAE内置的分布式配置管理的功能。

AliyunECSReadOnlyAccess

只读ECS的权限,授权后才能在创建应用时选择已有的安全组列表。

AliyunOOSReadOnlyAccess

只读OOS的权限,授权后才能使用SAE的批量定时启停应用的功能。

AliyunBSSReadOnlyAccess

只读BSS的权限,授权后才能在SAE概览页查看购买的资源包的余量。

AliyunARMSReadOnlyAccess

只读ARMS的权限,授权后才能使用SAE内置的应用监控管理功能。

AliyunRAMReadOnlyAccess

只读RAM的权限,授权后才能查询RAM用户拥有的权限列表,提示需要配置的权限。

AliyunCloudMonitorReadOnlyAccess

只读云监控的权限,授权后才能使用SAE内置的基础监控功能。

AliyunContainerRegistryReadOnlyAccess

只读容器镜像服务的权限,授权后才能在SAE应用部署镜像时,选择容器镜像服务企业版。

AliyunALBReadOnlyAccess

只读访问应用型负载均衡服务(ALB)的权限。

AliyunYundunCertReadOnlyAccess

只读访问云盾证书服务的权限。

AliyunEventBridgeReadOnlyAccess

只读EB的权限,授权后才能使用创建更新Job的功能。