操作审批_Serverless 应用引擎(SAE)-阿里云帮助中心

当企业内部的阿里云账号（主账号）有多个子账号（RAM用户）时，为了降低运维风险，可以设置权限审批规则，使得RAM用户对SAE平台上的重要功能的操作需要经过主账号或具有审批权限的RAM用户审批后才能执行。这样就可以对RAM用户的操作权限进行细粒度管控。本文将介绍如何设置权限审批规则、部署需审批权限的应用以及管理审批记录。

前提条件

您已完成以下操作：

已创建应用，且应用启用中。
已创建联系人。只有联系人才能成为审批人。

步骤一：为需要进行审批操作的子账号（RAM用户）添加权限

重要

如果需要进行审批操作的账号是阿里云账号（主账号），则无需为主账号添加以下的权限，请跳过此步骤。
如果需要进行审批操作的账号是子账号（RAM用户），并且该账号拥有AliyunSAEFullAccess权限，则无需为其授予以下权限，请跳过此步骤。

1. 创建自定义权限策略

使用阿里云账号（主账号）登录RAM控制台，在左侧导航栏选择权限管理 > 权限策略，在权限策略页面单击创建权限策略。

在创建权限策略页面，单击脚本编辑页签，将以下权限策略粘贴到控制台，然后单击确定。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sae:*OperationApproval*"
      ],
      "Resource": [
        "acs:sae:*:*:*"
      ]
   }
  ]
}

oS3JEaJfFE

在弹出的创建权限策略对话框，自定义权限的名称和备注，然后单击确定。

2. 为子账号（RAM用户）授权

在左侧导航栏选择身份管理 > 用户，在用户页面单击需要授权的用户登录名称。
在用户的详情页面，单击权限管理页签，然后在个人权限页签单击新增授权。
在弹出的新增授权面板的权限策略区域，在权限类型的下拉框中选择自定义权限，勾选上一步骤创建的自定义权限，然后单击确认新增授权。
授权完成后，可以在RAM用户的个人权限页签查看为用户授予的全部权限。

步骤二：创建审批规则

不管是阿里云账号（主账号）还是需要有审批权限的子账号（RAM用户），都需要创建审批规则。具体操作步骤，如下所示。

登录SAE控制台，在左侧导航栏选择企业级特性 > 权限管理。
在左侧导航栏单击审批设置，在审批设置页面单击新建审批设置。
在弹出的新建审批设置面板，配置以下参数信息，然后单击确定。
1. 审批范围设置：
  - 资源：支持在下拉列表中通过选择地域、命名空间和应用来筛选资源。
    - 地域：支持选择全部地域或具体的某个地域。
      - 如果选择全部地域，将默认选择全部地域下的全部命名空间中的所有应用。
      - 如果选择具体的某个地域，可以通过选择命名空间和应用来进行后续的筛选。
    - 命名空间：支持选择全部命名空间或具体的某个命名空间。
      - 如果选择全部命名空间，将默认选择目标地域下全部命名空间中的所有应用。
      - 如果选择具体的某个命名空间，可以后续筛选具体的应用。
    - 应用或任务：可以选择全部应用，也可以选择具体一个或多个应用。
  - 操作类型：只支持发布变更类型，包括部署应用与回退历史版本两种行为。
2. 白名单配置：在下拉列表中选择目标RAM用户。目标账号支持多选和模糊搜索。
  白名单内的RAM用户可以直接操作审批范围内的应用，无需审批人的审批。
3. 审批人配置：在审批人对应的下拉列表中选择审批人，可以添加多个审批人。
  说明
  - 只有联系人才可以成为审批人。如果下拉列表中没有您所需的账号，单击联系人管理添加。具体操作，请参见联系人管理。
  - 阿里云账号（主账号）默认为所有规则的审批人，能够收到所有审批通知并操作所有审批记录。如果您没有添加阿里云账号（主账号）的持有者的联系方式，则主账号持有者不会收到审批通知，但仍能进行审批操作。
  - 阿里云账号（主账号）能添加所有的子账号为审批人，如果子账号（RAM用户）没有ListUsers权限，只能添加自己为联系人，如果有ListUsers权限，可添加其他RAM用户为联系人。添加权限的具体步骤，请参见为RAM用户授权。
可选：在审批设置页面，您可以编辑或删除已创建的审批规则。
- 编辑：在操作列单击编辑，在更改审批设置面板中修改相关参数。
  审批规则修改后的示例说明如下：
  假设某阿里云账号新建了一条审批规则，审批人为A和B。该规则运行了一个月，共产生了10条审批记录，其中还剩3条待审批记录。此时，阿里云账号修改了规则，将审批人B替换为C，其余设置保持不变。此后，新增了5条待审批记录，目前共计8条审批记录。B仍可审批前3条记录，但不可审批后5条记录；C仅可审批后5条记录，不可审批前3条记录。
- 删除：在操作列单击删除，在弹出的提示对话框单击确定。

步骤三：使用子账号（RAM用户）进行应用变更

阿里云账号（主账号）和具有审批权限的子账号（RAM用户）是否设置了审批规则对其他的RAM用户部署应用的影响如下：

未设置：RAM用户在操作资源时无需提交部署审批。
已设置：如果需要操作资源的RAM账号没有在审批设置的白名单内，当该账号操作一个或多个资源时，需要审批人的审批，只有当审批通过后，才能进行后续操作。具体操作步骤如下所示。

重要

如果您创建了联系人，审批人在通过审批或拒绝审批后，系统将根据您在联系人中定义的联系方式，向您发送审批结果的通知。具体操作，请参见联系人管理。

使用阿里云子账号（RAM）用户登录SAE控制台，在左侧导航栏选择应用管理 > 应用列表，然后选择目标地域和目标命名空间，最后单击目标应用名称。
操作需要变更的应用。
部署应用
1. 在目标应用的基础信息页面，单击部署应用，然后根据需求修改对应的配置信息并选择发布策略。
  SAE支持的发布策略有分批发布和金丝雀发布（灰度）。具体信息，请参见单批发布应用、分批发布应用和灰度发布应用。
2. 单击确定。
回退历史版本
1. 在目标应用的基础信息页面，单击回退历史版本。
2. 在弹出的回退历史版本面板，选择所需要回退的历史版本并设置发布策略，然后单击确定。具体操作，请参见回退历史版本。
在发起部署应用的变更操作后，会弹出部署应用申请的对话框，提示您的变更操作已经发起了申请，您可以单击确定后在审批记录里查看审批进度。
如果您执行的是回退历史版本，则不会弹出以下对话框，可直接在变更详情中查看具体信息。
说明
发起审批申请后，查看应用的变更详情，会发现本次变更的执行状态将一直停留在等待审批，只有当审批人审批后，才能进行后续操作。具体介绍如下所示。
- 当审批人审批通过后：变更详情中的执行状态会变为审批通过，您可单击部署应用，并等待应用变更完成。
- 当审批人拒绝本次变更后：变更详情中的执行状态将自动变为执行终止，可以在审批记录中查看拒绝变更的原因。具体操作请参考以下可选步骤。
可选：在左侧导航栏选择企业级特性 > 权限管理，在审批记录页面的我发起页签查看审批进度。
您可以在审批记录页面的我发起页签，进行以下操作。
- 催审：单击操作列的催审，然后在弹出的提示对话框中单击确定，可完成催审操作。
- 撤回：单击操作列的撤回，然后在弹出的提示对话框中单击确定，可撤回本次的变更操作。
- 查看本次变更操作的应用：单击命名空间：应用列的应用名称，即可跳转到目标应用的基础信息页面。
- 查看拒绝原因：将鼠标悬停在已拒绝右侧的图标上，可查看拒绝的具体原因。

步骤四：在具有审批权限的账号上管理审批记录

使用具有审批权限的账号登录SAE控制台，在左侧导航栏选择企业级特性 > 权限管理。
在左侧导航栏单击审批记录，在待审批页签管理其他子账号发起的变更申请。
可选：您可以在此页面进行以下操作。
- 查看详情：单击目标记录操作列的查看详情，即可查看应用变更的详细信息。
- 同意：单击目标记录操作列的同意，在弹出的提示框单击确定，即可通过其他子账号提交的应用变更申请。
- 拒绝：单击目标记录操作列的拒绝，在弹出的确认审批拒绝对话框，填写拒绝理由并单击确定即可拒绝其他子账号提交的应用变更申请。
- 转交：单击目标记录操作列的转交，在弹出的审批转交对话框，选择需要转交的审批人，然后单击确定。
说明
如果您收到多条待审批的记录，可以勾选目标记录左侧的复选框，然后根据需要进行批量通过、批量拒绝或批量转交。
相关操作：在审批记录页面的已处理页签，可查看您审批过的变更申请，也可以单击命名空间：应用列对应的应用名称，跳转至目标应用的基础信息页面，查看应用的详细信息。