CADT權(quán)限管理介紹
云速搭CADT原生支持阿里云RAM訪問控制和資源管理體系,通過權(quán)限管理,您可以方便地實(shí)現(xiàn)對CADT及其應(yīng)用和模板的權(quán)限管控。
功能介紹
在云速搭CADT權(quán)限管理頁面,可以方便地實(shí)現(xiàn)創(chuàng)建用戶、創(chuàng)建資源組、用戶授權(quán)及資源組授權(quán)操作。
云速搭CADT的權(quán)限管理功能只支持主賬號。
創(chuàng)建RAM用戶:通過創(chuàng)建新的RAM用戶并授權(quán),RAM用戶便可以訪問相關(guān)資源。
創(chuàng)建資源組:通過創(chuàng)建資源組,可以實(shí)現(xiàn)根據(jù)業(yè)務(wù)部門、項(xiàng)目等維度進(jìn)行云資源的分組管理。
為RAM用戶授權(quán):為RAM用戶授權(quán)后,RAM用戶可以訪問相應(yīng)的阿里云資源
添加RAM身份并授權(quán):完成授權(quán)后,被授權(quán)的主體將獲得當(dāng)前資源組內(nèi)資源的相應(yīng)權(quán)限。
接下來,我們以一個簡單的實(shí)踐操作向您介紹CADT權(quán)限管理的應(yīng)用場景和使用方法。
場景模擬
假設(shè)在CADT中我們創(chuàng)建了兩個應(yīng)用:app-test、app-dev,現(xiàn)在需要將這兩個應(yīng)用分別授予對應(yīng)的用戶進(jìn)行操作,例如,授予開發(fā)人員(cadt-dev001)有且只擁有應(yīng)用app-dev的操作權(quán)限,授予測試人員(cadt-test001)有且只擁有應(yīng)用app-test的操作權(quán)限。
前提條件
為了完成上述操作場景,我們需要通過CADT提前創(chuàng)建好兩個應(yīng)用app-test、app-dev,操作方法可以參見創(chuàng)建自定義應(yīng)用,創(chuàng)建好的應(yīng)用如下圖所示:
步驟一:創(chuàng)建用戶
首先需要創(chuàng)建兩個RAM用戶,分別代表開發(fā)人員(cadt-dev001)和測試人員(cadt-test001)。
(主賬號)登錄云速搭CADT管理控制臺。
通過菜單欄下的管理>權(quán)限管理,進(jìn)入權(quán)限管理頁面。
說明云速搭CADT權(quán)限管理功能只面向主賬號開放。
在權(quán)限管理頁面,單擊創(chuàng)建用戶。
按照標(biāo)簽順序依次填寫創(chuàng)建開發(fā)人員(cadt-dev001),完成以下配置,并單擊確定。
以同樣方式創(chuàng)建測試人員(cadt-test001)。
兩個RAM用戶創(chuàng)建完成后如下圖所示:
步驟二:創(chuàng)建資源組
本文創(chuàng)建兩個資源組:開發(fā)環(huán)境(dev)和測試環(huán)境(test),分別對應(yīng)開發(fā)人員和測試人員的操作環(huán)境,實(shí)現(xiàn)資源的隔離。
在CADT權(quán)限管理頁面單擊創(chuàng)建資源組。
按照標(biāo)簽順序依次填寫創(chuàng)建開發(fā)環(huán)境(dev)資源組,完成以下配置,單擊確定。
以同樣方式創(chuàng)建測試環(huán)境資源組(test)。
完成后,在CADT權(quán)限管理頁面可以看到新創(chuàng)建的兩個資源組,如下圖所示:
步驟三:RAM用戶和資源組授權(quán)
完成RAM用戶和資源組創(chuàng)建后,接下來需要授予RAM用戶對特定資源組中云資源的操作權(quán)限。
在CADT權(quán)限管理頁面單擊用戶授權(quán)或資源組授權(quán)均可。以“用戶授權(quán)”為例:
選定指定用戶,例如開發(fā)人員cadt-dev001,單擊添加權(quán)限。
在添加權(quán)限頁面,完成以下配置,并單擊確定。
授權(quán)范圍:指定資源組,這里選擇創(chuàng)建的“開發(fā)環(huán)境”(對應(yīng)開發(fā)人員cadt-dev001)。
授權(quán)主體:開發(fā)人員cadt-dev001
選擇權(quán)限:CADT系統(tǒng)策略介紹請參見CADT系統(tǒng)策略及使用方法介紹,如果系統(tǒng)權(quán)限策略不能滿足您的需求,可以通過創(chuàng)建CADT自定義權(quán)限策略實(shí)現(xiàn)精細(xì)化權(quán)限管理。
本示例作為演示,授予cadt-dev001對CADT的管理權(quán)限。
以同樣方式,完成測試人員cadt-test001的授權(quán)。
步驟四:CADT應(yīng)用授權(quán)
完成RAM用戶和資源組授權(quán)后,最后需要將CADT應(yīng)用添加到對應(yīng)的資源組,這樣處于同一資源組的用戶才有權(quán)限操作對應(yīng)的CADT應(yīng)用。
在CADT權(quán)限管理頁面找到對應(yīng)的資源組,例如開發(fā)環(huán)境資源組(dev),單擊添加授權(quán)。
在添加授權(quán)頁面,按照標(biāo)簽順序打開我的應(yīng)用選擇需要授權(quán)的應(yīng)用或模板進(jìn)行授權(quán),這里選擇應(yīng)用app-dev,單擊授權(quán)。
完成授權(quán)后,可以看到如下圖所示頁面:
以同樣方式,將應(yīng)用app-test添加到資源組測試環(huán)境(test)中:
步驟五:結(jié)果驗(yàn)證
完成以上操作后,接下來驗(yàn)證開發(fā)人員(cadt-dev001)有且只擁有應(yīng)用app-dev的操作權(quán)限,測試人員(cadt-test001)有且只擁有應(yīng)用app-test的操作權(quán)限。
在主賬號RAM控制臺的概覽頁面記錄用戶登錄地址。
通過其他瀏覽器或無痕模式,打開上一步記錄的用戶登錄地址,輸入用戶名和密碼進(jìn)行登錄。例如登錄開發(fā)人員(cadt-dev001):
登錄CADT,可以看到當(dāng)前開發(fā)人員(cadt-dev001)只有開發(fā)環(huán)境的權(quán)限(符合驗(yàn)證結(jié)果),并切換到開發(fā)環(huán)境。
打開應(yīng)用 > 我的應(yīng)用頁面,可以看到當(dāng)前開發(fā)人員(cadt-dev001)賬號下有且只能看到應(yīng)用app-dev,驗(yàn)證結(jié)果正確。
以同樣方式驗(yàn)證測試人員(cadt-test001)賬號,驗(yàn)證結(jié)果正確。