AHAS支持對云服務器ECS(Elastic Compute Service)和容器服務ACK(Alibaba Cloud Container Service for Kubernetes)進行演練,為了控制被演練對象的范圍,AHAS故障演練支持對RAM子賬號進行授權配置。
配置方法
- 使用阿里云賬號登錄RAM控制臺。
- 在左側導航欄,選擇 。
- 在權限策略頁面,單擊創(chuàng)建權限策略。
- 在創(chuàng)建權限策略頁面,單擊腳本編輯頁簽。
- 輸入權限策略內(nèi)容,然后單擊繼續(xù)編輯基本信息。以如下配置為例進行說明。
{ "Statement": [ { "Effect": "Allow", "Action": "ahas:*", "Resource": [ "acs:ecs:*:*:*", "acs:cs:*:*:*" ] } ], "Version": "1" }
- Action:配置為ahas:* 擁有資源的全部權限。
- 創(chuàng)建演練權限:配置為
ahas:CreateExperiment
,授予該權限后,可以對資源進行演練配置操作(含更新操作)。 - 執(zhí)行演練權限:配置為
ahas:ExecuteExperiment
,授予該權限后,可對資源進行演練執(zhí)行操作(演練可執(zhí)行的條件為“子賬號擁有該演練中所有資源的執(zhí)行權限”)。
- 創(chuàng)建演練權限:配置為
- Resource:目前僅支持ECS和ACK兩種資源,請根據(jù)實際情況配置允許演練的資源,關于權限策略語法結構的詳情,請參見權限策略語法和結構。
- Action:配置為ahas:* 擁有資源的全部權限。
- 輸入權限策略名稱和備注。
- 檢查并優(yōu)化權限策略內(nèi)容。
- 基礎權限策略優(yōu)化
系統(tǒng)會對您添加的權限策略語句自動進行基礎優(yōu)化。基礎權限策略優(yōu)化會完成以下任務:
- 刪除不必要的條件。
- 刪除不必要的數(shù)組。
- 可選:高級權限策略優(yōu)化
您可以將鼠標懸浮在可選:高級策略優(yōu)化上,單擊執(zhí)行,對權限策略內(nèi)容進行高級優(yōu)化。高級權限策略優(yōu)化功能會完成以下任務:
- 拆分不兼容操作的資源或條件。
- 收縮資源到更小范圍。
- 去重或合并語句。
- 基礎權限策略優(yōu)化
- 單擊確定。
- 授權新創(chuàng)建的權限策略給用戶,詳情請參見為RAM用戶授權。
應用權限配置方法
說明 應用及應用分組名稱不可包含中文。
應用對應的權限配置方法請參見以下操作步驟。
- 使用阿里云賬號登錄RAM控制臺。
- 在左側導航欄,選擇 。
- 在權限策略頁面,單擊創(chuàng)建權限策略。
- 在創(chuàng)建權限策略頁面,單擊腳本編輯頁簽。
- 填寫腳本,然后單擊下一步:編輯基本信息。
{ "Statement": [ { "Effect": "Allow", "Action": "ahas:*", "Resource": "acs:ahas:*:*:*" } ], "Version": "1" }
- Action:配置為ahas:* 擁有資源的全部權限。
- 創(chuàng)建演練權限:配置為
ahas:CreateExperiment
,授予該權限后,可以對資源進行演練配置操作(含更新操作)。 - 執(zhí)行演練權限:配置為
ahas:ExecuteExperiment
,授予該權限后,可對資源進行演練執(zhí)行操作(演練可執(zhí)行的條件為“子賬號擁有該演練中所有資源的執(zhí)行權限”)。
- 創(chuàng)建演練權限:配置為
- Resource:支持按應用和應用分組進行資源劃分,以不同維度配置授權。
- Resource表達式格式:
acs:ahas:region:accountId:environment/appInstance/appGroup/ip
- Resource表達式說明:
- region:應用所在的地域。
- accountId:用戶ID。
- environment:環(huán)境。指AHAS平臺上的環(huán)境,取值是環(huán)境名,例如默認的default。
- appInstance:應用。用戶部署故障演練探針時確定,如果用戶部署時不指定,會歸屬為默認應用(ahas-default-app)。
- appGroup:應用分組。用戶部署故障演練探針時確定,如果用戶部署時不指定,會歸屬為默認應用分組(ahas-default-app-group)。
- ip:資源IP,如ecs ip,pod ip或node ip等。
- Action:配置為ahas:* 擁有資源的全部權限。
- 輸入權限策略名稱和備注。
- 檢查并優(yōu)化權限策略內(nèi)容。
- 基礎權限策略優(yōu)化
系統(tǒng)會對您添加的權限策略語句自動進行基礎優(yōu)化。基礎權限策略優(yōu)化會完成以下任務:
- 刪除不必要的條件。
- 刪除不必要的數(shù)組。
- 可選:高級權限策略優(yōu)化
您可以將鼠標懸浮在可選:高級策略優(yōu)化上,單擊執(zhí)行,對權限策略內(nèi)容進行高級優(yōu)化。高級權限策略優(yōu)化功能會完成以下任務:
- 拆分不兼容操作的資源或條件。
- 收縮資源到更小范圍。
- 去重或合并語句。
- 基礎權限策略優(yōu)化
- 單擊確定。
示例
示例1
{
"Statement": [
{
"Effect": "Allow",
"Action": "ahas:CreateExperiment",
"Resource": "acs:ahas:*:*:online/business/business_host/*"
}
],
"Version": "1"
}
如上示例1所示,持有該權限的人對online環(huán)境 > business應用 > business_host分組內(nèi)所有資源擁有配置及更新權限。
示例2
{
"Statement": [
{
"Effect": "Allow",
"Action": "ahas:ExecuteExperiment",
"Resource": "acs:ahas:*:*:default/order/order_1/10.1.0.1"
}
],
"Version": "1"
}
如上示例2所示,持有該權限的人對default環(huán)境 > order應用 > order_1分組 > 10.1.0.1設備擁有演練執(zhí)行權限。