概述
您在MSAP上托管的应用可能包含多个服务或子系统,这些服务或子系统又可能由不同团队、成员进行开发、运维。MSAP通过接入IAM能力,提供企业级的权限管理系统,帮助您对应用、资源和数据进行必要的隔离和权限控制,以保证其安全性。
为了方便您在IAM控制台方便使用MSAP相关策略,我们提供四套系统策略,分别为:
| 策略名称 | 描述 |
|---|---|
| Msap System Admin | 微服务云应用平台msap-CTIAM默认系统管理员(已内置CCE admin权限)策略。 |
| Msap Developer | 微服务云应用平台msap-CTIAM默认开发人员(已内置CCE user权限)策略。 |
| Msap Tester | 微服务云应用平台msap-CTIAM默认测试人员(已内置CCE user权限)策略。 |
| Msap Opser | 微服务云应用平台msap-CTIAM默认运维人员(已内置CCE user权限)策略。 |
主账号(租户管理员)负责添加系统管理员或管控全局之类的工作。
项目启动阶段
系统管理员负责初始化的一些工作:
除此之外,系统管理员还需要添加服务连接管理凭证,流水线编译所使用的Maven设置,以及查看审计日志等安全工作。
开发阶段
开发人员,顾名思义就是专门用于开发人员使用,这些用户使用项目管理员创建好的项目、环境,以及分配的数据权限,快速进行MSAP应用部署,他们不需要关心底层所依赖的环境信息,可以自由创建应用等流程。
创建应用,请参考章节应用管理。
测试阶段
对比于开发人员,测试人员比其少了应用管理的操作权限,只具有查看权限。因为测试人员只需要负责对提测的应用进行测试,而不需要自己去创建应用之类的操作,最多就是需要自己去创建各种类型的流水线(3.5.2流水线),进行编译部署等测试操作。
运维阶段
运维人员更多是做一些排查错误,性能监控的工作,对底层代码关注甚少。
总结一下四种策略分配场景:
- 负责项目,环境等初始化,而且需要一定的管理权限,请分配系统管理员策略。
- 如果只是每天查看下运行日志,负责每天的运维工作,或者简执行部署现有的流水线之类的工作,请分配运维人员策略。
- 如果不关心应用底层,只需要编辑部署等测试性能,请分配测试人员策略。
- 开发人员,除了不具备管理权限外,具备其他所有权限,适合具备一定开发能力的用户。
如需自定义MSAP用户策略,MSAP提供权限助手功能方便用户快速创建,创建完成后拷贝策略直接在IAM控制台创建即可。如图所以:
第一步:填写策略基本信息。
第二步,新增权限语句。
权限效力分为允许和拒绝。
其中项目管理、环境管理、应用管理除了管理对应的功能权限外,还分别管理MSAP系统中项目、环境和应用的数据权限,其他权限码则是管理页面功能权限。通过勾选对应的权限码即可生成目标策略,如图所示:
预览策略,如图所示:
最后点击保存即可。
通过查看详情复制目标策略在IAM控制台创建策略并授权给对应子账号,如图所示:
注意为了保持权限数据的一致性,建议您始终在这里对MSAP的权限策略进行操作,而不是直接在IAM系统中修改。
