AHAS支持對云服務器ECS(Elastic Compute Service)和容器服務ACK(Alibaba Cloud Container Service for Kubernetes)進行演練,為了控制被演練對象的范圍,AHAS故障演練支持對RAM子賬號進行授權配置。

配置方法

  1. 使用阿里云賬號登錄RAM控制臺
  2. 在左側導航欄,選擇權限管理 > 權限策略
  3. 權限策略頁面,單擊創(chuàng)建權限策略
  4. 創(chuàng)建權限策略頁面,單擊腳本編輯頁簽。
  5. 輸入權限策略內(nèi)容,然后單擊繼續(xù)編輯基本信息
    以如下配置為例進行說明。
    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ahas:*",
            "Resource": [
              "acs:ecs:*:*:*",
              "acs:cs:*:*:*"
            ]
        }
    ],
    "Version": "1"
}
    • Action:配置為ahas:* 擁有資源的全部權限。
      • 創(chuàng)建演練權限:配置為ahas:CreateExperiment,授予該權限后,可以對資源進行演練配置操作(含更新操作)。
      • 執(zhí)行演練權限:配置為ahas:ExecuteExperiment,授予該權限后,可對資源進行演練執(zhí)行操作(演練可執(zhí)行的條件為“子賬號擁有該演練中所有資源的執(zhí)行權限”)。
    • Resource:目前僅支持ECS和ACK兩種資源,請根據(jù)實際情況配置允許演練的資源,關于權限策略語法結構的詳情,請參見權限策略語法和結構
  6. 輸入權限策略名稱備注
  7. 檢查并優(yōu)化權限策略內(nèi)容。
    • 基礎權限策略優(yōu)化

      系統(tǒng)會對您添加的權限策略語句自動進行基礎優(yōu)化。基礎權限策略優(yōu)化會完成以下任務:

      • 刪除不必要的條件。
      • 刪除不必要的數(shù)組。
    • 可選:高級權限策略優(yōu)化

      您可以將鼠標懸浮在可選:高級策略優(yōu)化上,單擊執(zhí)行,對權限策略內(nèi)容進行高級優(yōu)化。高級權限策略優(yōu)化功能會完成以下任務:

      • 拆分不兼容操作的資源或條件。
      • 收縮資源到更小范圍。
      • 去重或合并語句。
  8. 單擊確定
  9. 授權新創(chuàng)建的權限策略給用戶,詳情請參見為RAM用戶授權

應用權限配置方法

說明 應用及應用分組名稱不可包含中文。

應用對應的權限配置方法請參見以下操作步驟。

  1. 使用阿里云賬號登錄RAM控制臺
  2. 在左側導航欄,選擇權限管理 > 權限策略
  3. 權限策略頁面,單擊創(chuàng)建權限策略
  4. 創(chuàng)建權限策略頁面,單擊腳本編輯頁簽。
  5. 填寫腳本,然后單擊下一步:編輯基本信息
    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ahas:*",
            "Resource": "acs:ahas:*:*:*"
        }
    ],
    "Version": "1"
}
    • Action:配置為ahas:* 擁有資源的全部權限。
      • 創(chuàng)建演練權限:配置為ahas:CreateExperiment,授予該權限后,可以對資源進行演練配置操作(含更新操作)。
      • 執(zhí)行演練權限:配置為ahas:ExecuteExperiment,授予該權限后,可對資源進行演練執(zhí)行操作(演練可執(zhí)行的條件為“子賬號擁有該演練中所有資源的執(zhí)行權限”)。
    • Resource:支持按應用和應用分組進行資源劃分,以不同維度配置授權。
    • Resource表達式格式:
      acs:ahas:region:accountId:environment/appInstance/appGroup/ip
    • Resource表達式說明:
      • region:應用所在的地域。
      • accountId:用戶ID。
      • environment:環(huán)境。指AHAS平臺上的環(huán)境,取值是環(huán)境名,例如默認的default。
      • appInstance:應用。用戶部署故障演練探針時確定,如果用戶部署時不指定,會歸屬為默認應用(ahas-default-app)。
      • appGroup:應用分組。用戶部署故障演練探針時確定,如果用戶部署時不指定,會歸屬為默認應用分組(ahas-default-app-group)。
      • ip:資源IP,如ecs ip,pod ip或node ip等。
  6. 輸入權限策略名稱備注
  7. 檢查并優(yōu)化權限策略內(nèi)容。
    • 基礎權限策略優(yōu)化

      系統(tǒng)會對您添加的權限策略語句自動進行基礎優(yōu)化。基礎權限策略優(yōu)化會完成以下任務:

      • 刪除不必要的條件。
      • 刪除不必要的數(shù)組。
    • 可選:高級權限策略優(yōu)化

      您可以將鼠標懸浮在可選:高級策略優(yōu)化上,單擊執(zhí)行,對權限策略內(nèi)容進行高級優(yōu)化。高級權限策略優(yōu)化功能會完成以下任務:

      • 拆分不兼容操作的資源或條件。
      • 收縮資源到更小范圍。
      • 去重或合并語句。
  8. 單擊確定

示例

示例1

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ahas:CreateExperiment",
            "Resource": "acs:ahas:*:*:online/business/business_host/*"
        }
    ],
    "Version": "1"
}

如上示例1所示,持有該權限的人對online環(huán)境 > business應用 > business_host分組內(nèi)所有資源擁有配置及更新權限。

示例2

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ahas:ExecuteExperiment",
            "Resource": "acs:ahas:*:*:default/order/order_1/10.1.0.1"
        }
    ],
    "Version": "1"
}

如上示例2所示,持有該權限的人對default環(huán)境 > order應用 > order_1分組 > 10.1.0.1設備擁有演練執(zhí)行權限。