概述

微服務治理中心支持IAM權限管控，通過創建IAM用戶并對其分配訪問權限，用戶可以實現對云服務和資源的訪問及操作權限，避免分享賬號。

前提條件

已創建IAM用戶以及相應用戶組，操作詳情請參見創建IAM用戶。

添加權限

• 使用主賬號登錄。
• 在控制臺左側導航欄中選擇用戶組。
• 選擇相應的用戶組項，在右側操作列單擊授權。

• 在用戶組權限管理頁面，勾選對應的權限策略，根據提示完成授權。

權限說明

權限策略是靈活的授權項，可以精確到功能和資源兩個維度，對于微服務治理中心，控制臺功能和應用資源將分別進行權限管控，實現細粒度的訪問控制。

多個策略以”or”的關系進行評估，總體遵循Deny優先原則。

權限策略包含系統策略和自定義策略兩種。

• 系統策略：微服務治理中心提供三種預置策略。

  • 微服務治理中心查看者：只讀權限，擁有控制臺信息查詢權限。
  • 微服務治理中心使用者：讀寫權限，擁有除管理微服務治理中心產品和管理應用外的所有權限。
  • 微服務治理中心管理者：管理權限，等同于主賬號訪問權限，擁有所有功能操作權限。

• 自定義策略：創建自定義策略可以支持更細粒度的授權，對于微服務治理中心，可以自定義功能訪問權限以及資源訪問權限。具體操作步驟請參考創建自定義策略。

  • 配置示例：

    {
        "Version": "1.1",
    "Statement": [
        // 具有服務鑒權功能權限和所有資源池特定命名空間下所有應用的訪問權限
            {
                "Effect": "Allow",
                "Action": [
                    "msgc:inst:getAppInfo",
                    "msgc:inst:getServiceInfo",
                    "msgc:inst:readAuthConfig",
                    "msgc:inst:writeAuthConfig"
                ],
                "Resource": [
                    "ctrn:msgc:*:xxxxxxxx:namespace/${namespaceVal}/app/*"
                ]
            }
        ]
    }
    

  • 資源路徑說明：

路徑模板 ctrn:msgc:${regionCode}:${accountId}:namespace/${ns}/app/${appId}

參數說明：