概述
微服务治理中心支持IAM权限管控,通过创建IAM用户并对其分配访问权限,用户可以实现对云服务和资源的访问及操作权限,避免分享账号。
前提条件
已创建IAM用户以及相应用户组,操作详情请参见创建IAM用户。
添加权限
- 使用主账号登录IAM控制台。
- 在控制台左侧导航栏中选择用户组。
- 选择相应的用户组项,在右侧操作列单击授权。
- 在用户组权限管理页面,勾选对应的权限策略,根据提示完成授权。
权限说明
权限策略是灵活的授权项,可以精确到功能和资源两个维度,对于微服务治理中心,控制台功能和应用资源将分别进行权限管控,实现细粒度的访问控制。
多个策略以”or”的关系进行评估,总体遵循Deny优先原则。
权限策略包含系统策略和自定义策略两种。
-
系统策略:微服务治理中心提供三种预置策略。
- 微服务治理中心查看者:只读权限,拥有控制台信息查询权限。
- 微服务治理中心使用者:读写权限,拥有除管理微服务治理中心产品和管理应用外的所有权限。
- 微服务治理中心管理者:管理权限,等同于主账号访问权限,拥有所有功能操作权限。
-
自定义策略:创建自定义策略可以支持更细粒度的授权,对于微服务治理中心,可以自定义功能访问权限以及资源访问权限。具体操作步骤请参考创建自定义策略。
- 配置示例:
{ "Version": "1.1", "Statement": [ // 具有服务鉴权功能权限和所有资源池特定命名空间下所有应用的访问权限 { "Effect": "Allow", "Action": [ "msgc:inst:getAppInfo", "msgc:inst:getServiceInfo", "msgc:inst:readAuthConfig", "msgc:inst:writeAuthConfig" ], "Resource": [ "ctrn:msgc:*:xxxxxxxx:namespace/${namespaceVal}/app/*" ] } ] }
- 资源路径说明:
- 配置示例:
路径模板 ctrn:msgc:${regionCode}:${accountId}:namespace/${ns}/app/${appId}
参数说明:
参数 | 描述 |
---|---|
regionCode | 资源池标识,支持通配符‘*’。 |
accountId | 账户标识,系统自动填充。 |
ns | 命名空间名称,支持通配符‘*’。 |
appId | 应用标识,支持通配符‘*’。 |