概述
微服务云应用平台权限管理是由统一身份认证(IAM)纳管。子账号登陆并访问微服务云应用平台前需要被管理员授权对应的微服务云应用平台系统权限后才可以正常使用。
小团队使用微服务云应用平台
建议小团队用户使用IAM权限鉴权,简单易上手。
登陆天翼云官网并访问IAM控制台,选择需要授权的子账号。
查看用户,选择所属用户组,添加用户组。如未创建所需用户组,请参考系统管理-主子账号创建用户组并给用户组授权微服务云应用平台权限策略。
选择目标用户组,点击确定即可。
IAM场景1
租户是小团队,只区分功能权限(常用场景)
进入IAM控制台
2. 创建自定义策略
选择策略管理,创建自定义策略。
测试策略内容,仅供参考,MSAP1.6后支持通配符策略。
{ "Version": "1.1", "Statement": [ { "Action": [ "msap:inst:*" ], "Resource": [ "*" ], "Effect": "Allow" } ] } |
3. 选择用户组,创建用户组。
4. 选择用户,查看需要授权子账号,在所属用户组TAB栏,添加目标用户组。
完成以上配置后,即完成了IAM策略授权操作了!
IAM场景2
租户是小团队,区分功能权限,还想针对某个具体的资源控制数据权限。
进入IAM控制台
2. 创建自定义策略或使用MSAP系统策略
选择策略管理,创建自定义策略。
测试策略内容,仅供参考,MSAP1.6后支持通配符策略。
{ "Version": "1.1", "Statement": [ { "Action": [ "msap:inst:*" ], "Resource": [ "*" ], "Effect": "Allow" } ] } |
3. 自定义数据权限
注意
如需要数据权限管控,则需要通过Resource五元组配置资源路径。
目前MSAP系统可以对环境、项目、应用实例做资源路径数据权限管控,其资源路径定义如下:
| 类型 | 资源路径模板 | Resource五元组(例子) |
| 环境 | env/{envId} | ctrn:msap:*:*:env/16cc5354-0d76-4566-a8e5-5fa99cd715f9 |
| 项目 | project/{projectId} | ctrn:msap:*:*:project/43fc5880-1f6c-4961-be7f-0150d53d788d |
| 应用实例 | appinst/{appinstId} | ctrn:msap:*:*:appinst/12d3b146ff854dc4b4c38137f7aa52fc |
例如:
{ "Version": "1.1", "Statement": [ { "Action": [ "msap:inst:viewEnv" ], "Resource": [ "ctrn:msap:*:*:env/16cc5354-0d76-4566-a8e5-5fa99cd715f9" ], "Effect": "Allow" } ] } |
4. 选择用户组,创建用户组。
5. 选择用户,查看需要授权子账号,在所属用户组TAB栏,添加目标用户组。
完成以上配置后,即完成了IAM数据权限策略授权操作了!
大团队使用微服务云应用平台
建议大团队用户使用企业项目权限鉴权,尤其已经有使用天翼云IAM企业项目功能的客户和大团队需要规划数据资源的团队极力推荐,操作方便,易于管理。
登陆天翼云官网并访问IAM控制台,选择企业项目,如未创建企业项目,请参考系统管理-主子账号企业项目策略授权
点击查看用户组,设置用户组,如未创建请先创建用户组
选择添加的用户组,设置策略,选择目标微服务云应用平台权限策略,点击确定即可
选择用户组管理,添加目标子账号加入到用户组即可。
企业项目场景1
租户是大团队,不同用户组有不同的功能权限,数据权限统一由企业项目里的资源管控(常用场景)。
注意
相同权限码,IAM授权策略的优先级 > 企业项目授权策略。
举例:假设在IAM策略授权中msap:inst:viewEnv是allow,但是在企业项目策略授权中是deny,那最终用户msap:inst:viewEnv权限码的效力为allow,因为需要遵循IT IAM定义:IAM授权策略的优先级 > 企业项目授权策略。
进入IAM控制台
2. 进入用户组创建用户组。
3. 选择企业项目
如需要创建自定义企业项目:
创建好企业项目后,用户可以将资源迁入迁出到目标企业项目, 子账号需要有权限才可以将MSAP资源上报到对应的企业项目中。
注意
子账号授权MSAP标识企业项目权限码:msap:inst:manageEnterpriseProject。
或将MSAP系统中环境资源、项目资源、应用实例资源上报到企业项目中。
注意
在MSAP系统中,切换企业项目,相当于在IAM控制台,将原企业项目下的对应MSAP资源迁出迁入到新的企业项目中,此操作是幂等的。
4. 查看用户组,并设置用户组。
5. 设置好用户组后,再选择设置策略,选择目标策略授权即可。
6. 设置好策略后,需要对用户组管理,将需要授权子账号加入到用户组中。
完成上述操作后,即完成了企业项目授权操作。
企业项目场景2
租户是大团队,不同用户组有不同的功能权限,数据权限想在企业项目里的资源管控下,再精细化通过5元组管控。
注意
相同权限码,IAM授权策略的优先级 > 企业项目授权策略。
举例:假设在IAM策略授权中msap:inst:viewEnv是allow,但是在企业项目策略授权中是deny,那最终用户msap:inst:viewEnv权限码的效力为allow,因为需要遵循IT IAM定义:IAM授权策略的优先级 > 企业项目授权策略
进入IAM控制台。
2. 进入用户组创建用户组。
3. 选择企业项目。
如需要创建自定义企业项目:
创建好企业项目后,用户可以将资源迁入迁出到目标企业项目, 子账号需要有权限才可以将MSAP资源上报到对应的企业项目中。
注意
子账号授权MSAP标识企业项目权限码:msap:inst:manageEnterpriseProject
或将MSAP系统中环境资源、项目资源、应用实例资源上报到企业项目中。
注意
在MSAP系统中,切换企业项目,相当于在IAM控制台,将原企业项目下的对应MSAP资源迁出迁入到新的企业项目中,此操作是幂等的。
4. 查看用户组,并设置用户组。
5. 设置好用户组后,再选择设置策略,选择目标策略授权即可。
6. 自定义数据权限
注意
如果在企业项目下还需要对MSAP系统资源环境、项目、应用实例做进一步数据权限管控,则需要通过Resource五元组配置资源路径。
目前MSAP系统可以对环境、项目、应用实例做资源路径数据权限管控,其资源路径定义如下:
| 类型 | 资源路径模板 | Resource五元组(例子) |
| 环境 | env/{envId} | ctrn:msap:*:*:env/16cc5354-0d76-4566-a8e5-5fa99cd715f9 |
| 项目 | project/{projectId} | ctrn:msap:*:*:project/43fc5880-1f6c-4961-be7f-0150d53d788d |
| 应用实例 | appinst/{appinstId} | ctrn:msap:*:*:appinst/12d3b146ff854dc4b4c38137f7aa52fc |
例如:
{ "Version": "1.1", "Statement": [ { "Action": [ "msap:inst:viewEnv" ], "Resource": [ "ctrn:msap:*:*:env/16cc5354-0d76-4566-a8e5-5fa99cd715f9" ], "Effect": "Allow" } ] } |
7. 设置好策略后,需要对用户组管理,将需要授权子账号加入到用户组中。
完成上述操作后,即完成了企业项目授权操作。
