为 RAM 账号授权并进行访问控制

访问控制（Resource Access Management，简称 RAM）是阿里云提供的管理用户身份与资源访问权限的服务。RAM 允许在一个阿里云账号下创建并管理多个身份，并允许给单个身份或一组身份分配不同的权限，从而实现不同用户拥有不同资源访问权限的目的。RAM 用户是 RAM 的一种实体身份类型，有确定的身份ID和身份凭证，它通常与某个确定的人或应用程序一一对应。

mPaaS 已全面支持阿里云访问控制服务，您在创建 RAM 用户并添加相应权限后，RAM 用户即可访问 mPaaS 控制台。再通过为 RAM 用户添加权限规则，可以在 mPaaS 控制台实现 RAM 用户的资源隔离，即对 RAM 用户可以访问的 mPaaS 应用进行控制。

前提条件

1. 已经注册了阿里云账号。如还未注册，请先完成 账号注册。
2. 已经创建了 RAM 用户。如还未创建，请先完成 创建 RAM 用户。

操作步骤

1. 为 RAM 用户添加 mPaaS 控制台访问权限。
   1. 使用阿里云账号登录 RAM 控制台。
   2. 在左侧导航栏的 人员管理 菜单下，单击 用户。
   3. 选择需要登录 mPaaS 控制台的 RAM 账号，单击 添加权限。
   4. 在添加权限页面，搜索 AliyunMPAASFullAccess权限，单击权限确认选择后，单击 确定。至此，您已完成为 RAM 用户添加 mPaaS 控制台访问权限，该 RAM 用户能够访问主账号创建的所有应用。如您不需要对 RAM 用户进行访问控制，可以跳过以下步骤。
2. 为 RAM 用户添加资源隔离策略。
   1. 使用阿里云账号登录 RAM 控制台。
   2. 在左侧导航栏的权限管理菜单下，单击 权限策略管理。
   3. 单击 创建权限策略。
   4. 输入策略名称和备注。
   5. 配置模式选择脚本配置。
      说明：mPaaS 目前不支持可视化配置。
   6. 编辑策略内容。您可以直接使用以下 访问指定应用的 RAM 规则 和 访问全部 mPaaS 应用的 RAM 规则 的示例。在使用访问指定应用的 RAM 规则时，您需要将规则中的 App ID 替换为待指定应用的 App ID。需要指定多个应用时，应用的 App ID 以（,）分隔。
      • 访问指定应用的 RAM 规则

        {
        "Version": "1",
        "Statement": [
        {
          "Action": [
              "mpaas:FilterApp"
          ],
          "Resource": "*",
          "Effect": "Deny",
          "Condition": {
              "StringNotEquals": {
                  "acs:appid": [
                      "ONEXCBAD96A290957",
                      "..."
                  ]
              }
          }
        },
        {
          "Action": [
              "mpaas:*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
        ]
        }

      • 访问全部应用的 RAM 规则

        {
        "Version": "1",
        "Statement": [
        {
          "Action": [
              "mpaas:*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
        ]
        }

   7. 单击 确定。
   8. 在左侧导航栏的 人员管理 菜单下，单击 用户。
   9. 选择需要登录 mPaaS 控制台的 RAM 账号，单击 添加权限。
   10. 在添加权限页面，搜索刚添加的自定义策略权限，单击权限确认选择后，单击 确定。至此，您以完成为 RAM 用户添加资源隔离策略。