OpenSearch的授权访问鉴权规则有哪些?
您通过云账号创建的OpenSearch应用,都是该账号自己拥有的资源。默认情况下,账号对自己的资源拥有完整的操作权限。
使用阿里云的RAM(Resource Access Management)服务,您可以将您云账号下OpenSearch资源的访问及管理权限授予RAM中子用户。
【特别注意】
- RAM 子账号功能只支持V3 及以上SDK版本,V2 版SDK不支持 RAM子账号功能。
- 第三方数据源产品要严格遵守 RAM 权限体系,需要在第三方产品赋予子帐号对应权限,ODPS 数据源不支持 RAM 鉴权,需要用户自行与 ODPS 团队沟通完成子账户授权
使用RAM子账号在控制台中配置rds数据源,必须要再对该RAM子账号进行数据源相关权限授权,否者会报“连接RDS服务失败,请稍后再试”,参考下面的 “RDS 访问授权”
权限设置及更新生效时间
对子用户设置或更新权限配置后,目前是延迟5分钟后生效。
RDS 访问授权
访问 RDS 有两个接口,tables 和 fields。由于访问 RDS 需要添加白名单,因此还需要再为 RAM子账号设置白名单权限( 若没有该权限,连接RDS时,会报“设置 RDS 的 IP 白名单失败”)。RDS 的授权直接在 RAM控制台 配置,可以在概览页配置自定义授权策略或者角色,然后在用户管理页面对子账号进行授权。 RDS 的授权详情
OpenSearch 使用 RDS 授权的最小集合:
- Resource 中的变量含义(例如: $regionid,$accountid,$dbinstanceid 等)
- Resource 中的内容也可以使用通配符“*”来表示
子用户权限参考
在确定要为子用户赋予某些需要操作的应用后,子用户正常登录控制台通常需要依赖多种action权限组合,可以考虑赋予子用户 Describe*,List* 权限,当然也可以根据您的实际需求为子用户赋予某些特定的权限组合
授权样例参考(1)
给accountId为1234的主账号下的某个子账号赋予所有区域、所有应用的所有操作权限,该策略在主账号控制台中创建后,需再通过主账号在 RAM 控制台中对子账号授权,或通过 RAM SDK对子账号授权。
1、创建一个策略
2、把当前策略授权给您指定的子账号
- 每一行Action 权限都必须对应所在行的 resource格式,例如下面,前2行的Action作用范围只能是所有应用,因此用 * 号表示,不能指定为某个应用名。
- 不同的 resource 资源格式描述,需单独再对该resource 资源进行授权,例如下表中的前2行和后续的 resource 资源格式描述是不同的
RAM中可对Opensearch 应用资源进行授权的Action
| Action | Action Descripe | 对应resource |
| opensearch:ListApp | app列表权限 | acs:opensearch:$regionId:$accountId:apps/* |
| opensearch:CreateApp | 创建app权限,不限制app name | acs:opensearch:$regionId:$accountId:apps/* |
| opensearch:DescribeApp | app详情权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:DeleteApp | 删除app权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:UpdateApp | app更新权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:SetCurrent | 多版本应用切换当前版本服务app | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ReindexApp | app索引重建权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:PushDoc | app推送文档权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:SearchApp | app 查询权限,SearchApp Action鉴权暂不支持ip条件鉴权 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:DescribeFirstRank | 粗排详情权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:WriteFirstRank | 粗排创建,修改,删除权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ListFirstRank | 粗排列表权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:DescribeSecondRank | 精排详情权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:WriteSecondRank | 精排创建,修改,删除权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ListSecondRank | 精排列表权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:WriteDataSource | 数据源创建,修改,删除权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ListDataSource | 数据源列表权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:DescribeDataSource | 数据源详情权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:WriteSummary | 摘要创建,修改,删除权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ListSummary | 摘要列表权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:DescribeSuggest | 下拉提示详情权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:WriteSuggest | 下拉提示创建,修改,删除权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:SearchSuggest | 下拉提示搜索权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ReindexSuggest | 下拉提示索引重建权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ListSuggest | 下拉提示列表权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:WriteQueryProcessor | qp创建,修改,删除权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ListQueryProcessor | qp 列表权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:DescribeQueryProcessor | qp 详情页权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:DescribeTask | 任务详情权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:WriteTask | 任务创建,修改,删除权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ListTask | 任务列表权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:ListLog | 日志列表权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:DescribeQuota | quota详情权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
| opensearch:WriteQuota | quota扩容权限 | acs:opensearch:$regionId:$accountId:apps/$appName |
展开
收起
问答分类:
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
