SAE提供权限助手功能,简化SAE相关的RAM权限策略配置。本文介绍如何通过SAE权限助手创建权限策略并授权给RAM用户。

前提条件

创建RAM用户

背景信息

SAE权限助手是一个生成RAM权限策略的工具,能够协助您对SAE的权限进行可视化配置,并在SAE控制台生成对应的权限语句。然后您可以在RAM控制台创建对应的自定义权限策略,将权限策略的策略内容修改为该权限语句,并为需要该项SAE权限的RAM用户授予权限。

步骤一:在SAE控制台创建权限策略

  1. 登录SAE控制台
  2. 在左侧导航栏选择权限管理 > 权限助手
  3. 权限助手页面,单击新建权限策略
  4. 新建权限策略配置向导页面的权限策略配置页签,设置相关参数并单击下一步pg_create_a_new_permission_policy
    1. 输入策略名称备注
      参数说明如下:
      参数 描述
      策略名称 权限策略的自定义名称。必须以字母开头,允许数字、字母、下划线(_)以及短划线(-)组合,不超过36个字符。
      备注 权限策略的备注说明。
    2. 添加权限语句。pg_create_permission_statement
      1. 单击新增权限语句,在创建权限语句面板的授权资源下拉列表中依次选择地域ID、命名空间和应用。
        说明 地域ID和命名空间仅支持单选,应用列表支持多选。
      2. 授权操作可选权限复选框,在搜索操作文本框输入想要授予的权限,并单击右侧的放大镜图标,然后选中相应的权限,在已选权限复选框查看已选权限,最后单击完成
        说明
        • 搜索操作文本框支持模糊搜索,区分英文字母大小写。
        • 已选权限复选框默认显示系统默认读权限
        • 读写操作具有联动性,因此在您选择读写权限时,系统会自动判断并帮您勾选相关的权限。例如当您在写权限下选中应用 > 发布变更时,系统会自动帮您勾选与其相关的读权限。
      3. 可选:权限策略配置页签内的授权资源列表的授权操作操作列,按需选择查看权限克隆编辑删除pg_review_permission_statement
        说明
        • 如果您需要对多个命名空间的资源进行权限设置,则需要新增多条权限语句。
        • 如果您需要复制现有的权限语句或在其基础上进行编辑新增,您可以单击克隆,进入克隆权限语句面板,根据您的实际需求编辑并新增权限语句。
  5. 权限策略预览页签预览权限策略,单击一键复制,然后单击完成pg_preview_permission_policies
    控制台面板将会返回权限助手页面,您可在该页面查看新建的权限策略。pg_permission_assistant
    说明
    • 通过SAE权限助手生成的权限策略仅适用于操作SAE的资源,且不能超过20条。
    • 当SAE上线新功能时,您需要重新生成RAM权限语句,否则可能会导致原有权限策略下的RAM用户不具备该新功能的权限。
  6. 可选:权限助手页面的操作列,单击一键复制RAM授权语句进入一键复制RAM授权语句面板,然后单击一键复制bt_copy_RAM_permission_statement
    说明 复制的RAM授权语句用于步骤二:在RAM控制台创建自定义权限策略

步骤二:在RAM控制台创建自定义权限策略

为保证账户安全,您需要在RAM控制台为RAM用户添加访问授权策略。

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略管理
  3. 权限策略管理页面,单击创建权限策略
  4. 新建自定义权限策略页面,设置相关参数,然后单击确定pg_create_a_custom_policy_on_RAM_console
    参数说明如下:
    参数 描述
    策略名称 自定义的策略名称。
    备注(可选) 权限策略的备注信息。
    配置模式 单击脚本配置,在策略内容文本框内输入步骤一:在SAE控制台创建权限策略生成的权限策略。

步骤三:在RAM控制台为RAM用户添加授权

为保证账户安全,您需要在RAM控制台为RAM用户添加访问授权策略。本文以在用户页面为RAM用户授权的方式为例,操作步骤如下所示。更多方式,请参见为RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,为RAM用户添加权限。pg_grant_permissions_to_a_RAM_user_on_RAM_console
    参数说明如下:
    参数 描述
    授权应用范围 选择授权应用范围。
    • 整个阿里云账号:权限在当前阿里云账号内生效。
    • 指定资源组:权限在指定的资源组内生效。
    被授权主体 被授权主体,即需要获得授权的RAM用户。
    选择权限 权限包含系统策略自定义策略。更多信息,请参见权限策略概览创建自定义策略

    在本步骤中,您需要选择自定义策略,然后在搜索框内搜索步骤二:在RAM控制台创建自定义权限策略已设置成功的权限策略名称,在权限策略名称区域单击搜索出来的策略名称,即可选中策略。

  5. 单击确定
  6. 单击完成