当企业内部有多个阿里云账号(主账号)和RAM用户(子账号)时,需要对Serverless 应用引擎 SAE(Serverless App Engine)平台的重要功能进行权限收口。例如指定部署某个应用需要审核,通过设定审批流程,对RAM用户的操作权限进行细粒度管控,降低运维风险。本文介绍如何设置权限审批规则、部署需审批权限的应用和管理审批记录。
前提条件
您已完成以下操作:
设置审批规则
阿里云账号通过设置审批规则,能够从地域、命名空间和应用维度管理审批人与被审批人的权限范围。
登录SAE控制台。
在左侧导航栏,选择 。
在左侧导航栏,单击审批设置,然后在审批设置页面,单击新建审批设置。
在新建审批设置面板,配置相关参数。
审批范围设置
资源:在下拉列表依次选择地域、命名空间和应用。其中应用列表支持多选。
操作类型:发布变更,包括发布应用与回退历史版本两种行为。
白名单设置
免审批子账号白名单:在下拉列表中选择目标RAM用户。目标账号支持多选和模糊搜索。
白名单内的RAM用户可以直接操作审批范围内的应用,无需审批人的审批。
审批人设置
审批人:在下拉列表中选择目标账号。
RAM用户
阿里云账号
说明审批人默认无需操作审批。
只有联系人才可以成为审批人。如果下拉列表中没有您所需的账号,单击联系人管理添加。具体操作,请参见联系人管理。
阿里云账号默认为所有规则的审批人,能够收到所有审批通知并操作所有审批记录。若阿里云账号不被选中,则不会收到审批通知,但仍能进行审批操作。
单击确定。
审批设置成功后,在审批设置页面的列表中会新增一条审批规则。1个命名空间占1条记录,您可以设置多个审批人和免审批子账号。
可选:在审批设置页面,选择目标记录进行设置。
编辑:在操作列单击编辑,在更改审批设置面板修改相关参数。
审批规则修改后的示例说明如下:
假设某阿里云账号新建了一条审批规则,审批人为A和B。该规则运行了一个月,共产生了10条审批记录,其中还剩3条待审批记录。此时,阿里云账号修改了规则,将审批人B替换为C,其余设置保持不变。此后,新增了5条待审批记录,目前共计8条审批记录。B仍可审批前3条记录,但不可审批后5条记录;C仅可审批后5条记录,不可审批前3条记录。
删除:在操作列单击删除,在弹出的提示对话框单击确认。
说明审批记录的生效时间,以相关操作触发时刻的审批规则为准;此后对该条审批规则的修改,无法对现有的审批记录生效。更多信息,请参见管理审批记录。
部署需审核的应用
阿里云账号是否设置审批规则对部署应用的影响如下:
未设置:RAM用户无需提交部署审批。
已设置:表示指定部署某个或多个应用需要审核,则未获得免审批授权的RAM用户在部署此类应用时,需要申请权限。操作步骤如下所示。
登录SAE控制台,在左侧导航栏选择 ,然后选择目标地域和目标命名空间,最后单击目标应用名称。
发布变更。
在部署应用申请对话框中,按需操作。
RAM用户提交申请后,阿里云账号或代理审批人账号会收到通知,同时在审批记录页面的待审批页签会新增一条申请记录。
可选:选择以下任一方式查看审批状态。
方式一:在审批记录页面的我发起页签查看审批状态。
方式二:在应用的变更记录页面查看应用变更详情,查看发布状态。
审批通过后,选择以下任一途径进入变更详情页面,并单击右上角的部署应用。
方式一:在应用基本信息页面上方会出现以下变更提示,单击查看详情进入变更详情页面。
方式二:在变更记录页面的操作列,单击查看,进入变更详情页面。
验证结果。
方式一:在应用的变更记录页面,查看应用变更详情,查看发布状态。
方式二:在应用基本信息页面的实例部署信息页签,查看实例的运行状态。如果执行状态显示为Running,表示应用部署成功。
管理审批记录
根据账号类型与权限的不同,您可以在审批记录页面,按需查看自己提交的申请及进度、查看待自己审批的申请并进行审批、查看已完成的历史审批任务。
登录SAE控制台。
在左侧导航栏,选择 。
在左侧导航栏,单击审批记录,然后在审批记录页面,按需查看相关记录。
待审批页签。
查看:单击操作列的查看详情,可以在变更详情页面查看申请单的详细信息。
同意:单击操作列的同意或选中多条审批记录并单击批量通过时,系统会弹出提示对话框,单击确认。
拒绝:单击操作列的拒绝或选中多条审批记录并单击批量拒绝时,系统会弹出确认审核拒绝对话框,在拒绝原因文本框内输入具体原因,并单击确认。
审批拒绝后,本次变更会立刻终止,发布单状态会变更为执行中止。
转交:单击操作列的转交或选中多条审批记录并单击批量转交时,系统会弹出审批转交对话框,在审批人下拉列表中选择目标账号,并单击确认。
说明转交为单次转交。如果您需要将其设置为固定的审批人,具体操作,请参见设置审批规则。
该条操作审批的申请人与现有审批人无法作为转交目标。
确认提交后,系统会自动通过已设置的联系方式向审批代理人发送审批通知,然后代理人可以按需在审批记录页面查看待审批和已处理页签。
已处理页签。
您可以在此页签查看已处理的申请记录,包含审批操作、命名空间:应用、发起人用户名/ID、创建时间、审批完成时间和审批结果。
我发起页签。
催审:在操作列单击催审时,系统会弹出提示对话框,单击确认。
使用催审功能后,审批人会实时收到您的审批通知。为避免频繁打扰审批人,审批通知的间隔至少需要大于5分钟,因此催审功能有静默期。如果仍需要催促审核进度,建议您在5分钟后再次使用该功能,否则会出现报错提示。
撤回:选择以下任一方式撤回申请。
方式一:申请时撤回。在操作列单击撤回。
此时审批状态将变更为已撤回,已处理页签的审批结果会同步变更为已撤回,关联的发布单状态也会变更为执行中止。
方式二:部署应用时撤回。在应用的变更详情页面,单击右上角的终止变更,在终止变更对话框内单击确定。
此时执行状态将变更为执行中止,关联的审批记录会变更为已撤回。
说明在已处理页签的审批结果列和我发起页签的审批状态列,如果审批人填写了拒绝原因,当您把鼠标悬停至已拒绝右侧的问号图标上时,会出现气泡,气泡内会显示具体内容。
更多信息
假设阿里云账号A创建了RAM角色,并将此角色赋予阿里云账号B。在RAM角色授权完成后,阿里云账号B名下的RAM用户,则可以通过扮演RAM角色获取该角色对应的权限,例如设置审批规则、审批操作等。具体操作,请参见为RAM角色授权。