前提条件
权限说明
流量防护子账号权限细粒度控制:不同子账号 只可见对其授权的应用。
如子账号1 只可见gateway-demo应用;子账号2 只可见 demo3,demo5两个应用。
部分应用可见-只读
允许主账号设置子账号部分可见应用,且仅有读权限。
操作步骤:
I 创建权限策略
进入RAM>权限管理>创建权限,选择 '导入策略模板',输入‘AHAS’,选择'只读访问指定AHAS应用'。
输入命名空间与应用名称,其中
1)命名空间,仅可设置一个,支持通配符'*',可参考RAM字段语法。
2)应用名,可设置多个,支持通配符'*',可参考RAM字段语法。
样例如下:
点击‘下一步’,
设置策略名,
需以'ahas-'开头,标识为ahas应用管理策略,否则不生效。
点击确定即完成创建。
II 授权
选择子账号设置对应策略。
可在用户权限管理查看个人权限
III 子账号应用管理
子账号通过RAM 方式登录。
子账号仅可见对其授权应用,且仅具有读权限,不可进行创建、删除、变更规则等编辑操作。
部分应用可见-读写
允许主账号设置子账号部分可见应用,且具有编辑权限。
I 创建权限策略
同样策略模板方式,选择'完全访问指定AHAS应用'。
命名空间及应用名称输入方式同‘部分应用可见-只读’章节此部分。
II 授权
同‘部分应用可见-只读’章节此部分。
III 子账号登录
登录后仅可见对其授权应用,且具有创建、删除、关闭规则等编辑权限。
与现有权限关系
AliyunAHASReadOnlyAccess(只读访问应用高可用服务(AHAS)的权限 ) < '只读访问指定AHAS应用' < '完全访问指定AHAS应用' < AliyunAHASFullAccess 管理应用高可用服务(AHAS)的权限
直观解释
1.若当前子账号具有AliyunAHASReadOnlyAccess权限,可设置'只读访问指定AHAS应用' 限制其仅可见部分应用,且只有读权限
2.若当前子账号具有AliyunAHASReadOnlyAccess 或'只读访问指定AHAS应用' 权限,可通过 '完全访问指定AHAS应用'权限设置使其具有编辑权限。
3.若当前子账号具有AliyunAHASFullAccess权限,则子账号可见所有应用且可操作所有应用;若需限制子账号可见所有应用及操作权限,需删除AliyunAHASFullAccess权限后,再设置'只读访问指定AHAS应用' 或 '完全访问指定AHAS应用'权限。
为角色设置权限
角色权限设置方式同子账号,可参考RAM权限授予过程,不再赘述。
联系我们
欢迎扫码联系~
