程序员的日常
XX 年 X 月 X 日 21:12 办公室
由于安全考虑,我需要在日志服务中,为一个子账号配置权限来做数据消费。然而,日志服务中涉及的功能模块众多,模块之间还存在一些依赖关系。正当我为了配置权限而焦头烂额之际,身后忽然冒出一个黑影。那黑影隐约露出鬼魅笑容,晒出一句:“喂,你居然还没弄完?”。
“哇,师兄你走路都没声的,最近心血少少,你别吓我好嘛。”
“哼,本来想指点你一条光明大道,既然这样那就回见了。”说完回头作势要走。
我一听,立马拉过一张椅子,请师兄坐下,一边递上新买的红牛一边说道:“就知道师兄您玉树临风,我对师兄的敬仰有如滔滔江水……”
“行啦,都这么晚了,还请我喝红牛,看在你这么拼命的份上,我就告诉你吧。”
师兄说罢推了推眼镜,镜片闪烁之间,接过鼠标。忽然之间,不知从哪里传来哆啦A梦掏出法宝的背景音,只见师兄点开日志服务左边导航栏上一图标,页面上书“权限助手”四个大字。
“用这个就好了,你是要配置数据消费,只要选中数据消费模块,就可以生成 RAM 策略。”
“原来如此,果然不愧是师兄。”
我一面回答,一面四处张望,才发现原来声音来自旁边一哥们的短信铃声,不由松了一口气,定下心来,开始仔细研究起这个东东。
权限助手
权限助手是日志服务为了简化 RAM 策略配置而推出的小工具,旨在帮助用户进行日志服务的权限配置。用权限助手配置权限,再也不用辛苦查帮助文档了,哪里需要点哪里,从此再也不用为权限配置烦恼了。
权限配置的痛点
在权限配置编写的过程中,我们往往需要对权限所需要的 action 和 resource 有充分的了解,而日志服务涉及到很多功能模块,每个模块有自己的 action 与对应的 resource。之前我们编写的时候需要自己去查询帮助文档,而每个功能所需要的功能模块又不清晰,模块之间又有依赖关系。这就导致查询文档会比较麻烦,再加上手工编写策略容易出错,所以编写权限很容易十分酸爽。
而 RAM 默认的可视化编辑工具其实只是部分解决了手工编写容易出错的问题,对于具体需要的 action 和 resource 仍然需要用户自己去填写。
为了能更好的解决这些情况,日志服务推出了权限助手来帮助用户进行权限配置。
功能介绍
在权限助手中可以针对普通项目和 APP 两种场景,对日志服务中的功能模块进行权限分配。根据用户选择的功能模块,自动生成对应的 action 和 resource,免去用户查询文档的苦恼,点击之间就可以完成权限配置工作。
同时可以限定权限的资源范围为所有项目、当前项目或者是固定单个 logstore。配合限制条件可以做到对请求时间,IP,是否启用安全信道和多因素认证等进行限定。
在生成好权限策略之后仍然可以直接进行编辑,去除掉不需要的权限。完成之后可以直接复制到剪贴板,然后去 RAM 新建权限策略并粘贴,就可以完成权限策略的新建。
常用场景
1. 控制台操作权限配置
基于安全考虑,我们往往需要授予 RAM 用户最小可用权限,按照需要进行功能模块的权限分配。
在权限助手中,将日志服务参照控制台的功能点做了模块的划分。
原本不同模块之间其实是有依赖关系的。例如,如果要在控制台上进行 logstore 操作,那么首先就需要项目的权限,不然我们进入项目页面就会报错。而复杂的功能,如可视化权限更是需要依赖数据查询权限,logstore 权限,项目权限。而更进一步的告警功能又依赖于可视化功能,这样配置下来当然很麻烦。
而有了权限助手之后,配置操作权限再也不用考虑功能之间的依赖关系了,这些全都由权限助手帮助完成了,所以在分配项目,logstore,查询,可视化,告警等等常规控制台操作权限的时候都只需要在权限助手中进行勾选就可以完成权限策略的构建。
2. 数据加工子账号控制台操作权限
要为子账号配置数据加工的控制台操作权限,可以直接在权限助手中选择 数据处理 > 数据加工 模块,并按照需要选择只读或者管理,权限助手会默认选中使用数据加工所需要的项目、Logstore、可视化、查询等权限。其中项目、Logstore、查询这些权限模块可以由用户选择只读或者管理权限。
3. 数据加工用子账号AK权限
与上一个场景不同,如果是需要一个数据加工用的子账号 AK,则需要为源 Logstore 配置 数据消费 > 流式消费 权限,同时还要配置目标 Logstore 配置 数据接入 > 编程数据接入权限。
同时拥有这两个权限的子账号 AK 才能配置为数据加工用 AK。
4. 告警权限设置
如果要赋予一个子账号操作告警的权限,选择 数据处理 > 告警 权限就可以了。权限助手会将操作告警所需要的权限都加入选择中。其中项目,Logstore 以及数据查询权限都可以按需要选择只读或管理权。
5. APP 权限设置
如果需要对“成本管家”,“日志审计服务”两个 APP 进行赋权,可以在最上方模式选择中选取 APP。权限助手这时会默认选中 APP 所需要的权限,并且资源锁定为 APP 所使用的项目。
在 APP 模式下除了可以继续像正常模式中一样进行额外的权限分配,也可以选择禁止用户使用 APP。在禁止状态下,不会出现功能模块选择。
6. 云产品接入权限设置
云产品接入权限,如 WAF 日志,DRDS SQL审计日志,云防火墙日志等,只需要选择 数据处理 > 可视化 权限就可以满足需求。因为云产品接入主要涉及的就是可视化仪表盘相关的权限。
下面我们一起来看下配置的使用手册!
这是权限助手的主界面,配置分为普通项目与 APP 两种模式。
一、普通项目配置
在普通项目配置中,可以看到日志产品的所有功能模块。每个模块又分为管理权限和只读权限。可以根据需要进行勾选。
上方预设角色选择中可以快速对常用的场景进行选择,选中之后会自动对表格进行勾选。
1. 功能模块的依赖关系
勾选某些模块之后,配置工具会自动勾选其他模块,这是因为模块之间存在一些依赖关系。例如:
项目管理模块:由于所有的功能操作都在项目页面中进行,所以如果没有项目权限就无法在界面上对其他功能进行操作。但可以选择给只读权限或者给与管理权限。
Logstore 管理模块:数据接入中的操作都依赖与 Logstore 权限,所以选中数据接入中的任意一项都会默认选中 Logstore 管理模块。
数据查询:数据可视化模块依赖于数据查询权限。
数据可视化:告警,订阅和云产品接入功能都依赖数据可视化权限。其中告警和订阅需要可视化的管理权限。
被依赖的权限仍然可以由用户选择管理权限或只读权限,因为被依赖的功能模块往往只需要只读权限就能满足使用了。
2. 资源限定
在选择完功能模块之后,用户还可以对资源进行限制。
资源默认指定的是当前项目,用户可以使用 号进行匹配,例如 project-a 这样的方式。
如果直接输入 号,资源限制就成为 acs:log:::project/ ,表示对日志服务的资源没有限制。
在选择好 project 之后,还可以进一步对 Logstore 进行设置
点击新增按钮可以再添加一条资源记录。
3. 限制条件
最后是四种限制条件的设置,限制条件的部分详情可以参考 RAM 的帮助文档:
阿里云帮助中心-阿里云,领先的云计算服务提供商help.aliyun.com
二、APP 配置
而选择 APP 配置后,用户可以对 APP 的使用权限进行设置。
APP 的选择是单选,如果选择的权限是允许,那么和普通项目下的设置类似,已经默认为用户选择了 APP 使用中所需要的权限。用户也可以手动做修改。如果权限选择的是禁止,那么就不用另外做设置,默认会禁止所有 APP 相关项目的权限。
预览权限策略
在完成全部配置后,点击页面最下方的“下一步”按钮,可以预览权限策略
在这里可以直接对生成的策略进行编辑微调。
上方的表格方便用户对权限规则进行预览,同时鼠标移动到每一条 Action 上时可以看到来源说明,并可以直接进行删除操作。
在编辑器上方提供各种操作按钮:
格式化:可以对编辑过的 json 进行格式化。
压缩:由于策略配置在应用时有长度限制,压缩功能可以去掉多余的空格和换行,节省字符数。
重置:可以将手动的修改还原。
复制到剪贴板:将当前编辑器中的内容存到剪贴板中,方便复制使用。
添加到自定义模板:将当前的模板保存到本地浏览器的存储中,方便用户下一次使用。需要注意,由于只是存放在浏览器的本地存储中,所以更换电脑以及更换浏览器将看不到之前存放的模板。
应用上线
完成编辑之后,可以将内容保存到本地方便之后使用。如需要马上进行配置,可以将内容复制到剪贴板,之后去 RAM 页面进行策略配置。
这时点击页面底部的下一步按钮,可以查看配置说明。
之后按照说明在 RAM 界面进行权限配置,将编辑的内容新建为自定义策略,并将该策略赋予需要的对象就完成了整个操作。
场景实例
给予一个项目的所有权限
如果需要给一个角色单个项目的所有权限,那么可以如下选择:
给予所有项目的仪表盘权限
赋予当前项目数据加工的控制台操作权限
权限助手之后会根据用户反馈,集成更多的使用场景。
3362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
