赛尔校园公共服务平台 Logo
平台使用
阿里云
百度云
移动云
智算服务
教育生态
登录 →
赛尔校园公共服务平台 Logo
平台使用 阿里云 百度云 移动云 智算服务 教育生态
登录
  1. 首页
  2. 阿里云
  3. Serverless应用引擎(新版)
  4. 操作指南
  5. 企业级特性
  6. 权限管理
  7. SAE权限助手

SAE权限助手

  • 权限管理
  • 发布于 2025-04-17
  • 0 次阅读
文档编辑
文档编辑

Serverless 应用引擎 SAE(Serverless App Engine)提供权限助手功能,简化SAE相关的RAM权限策略配置。本文介绍如何通过SAE权限助手快速创建权限语句,并在RAM控制台完成最终的权限策略配置。

前提条件

创建RAM用户

背景信息

SAE权限助手是一个生成RAM权限策略的工具,能够协助您对SAE的权限进行可视化配置,精确到应用、任务的读写操作,并在SAE控制台生成对应的权限语句,避免因直接在RAM控制台手动编辑权限语句而出现纰漏。然后,您可以在RAM控制台创建对应的自定义权限策略,将权限策略的策略内容修改为该权限语句,并为需要该项SAE权限的RAM用户授予权限。

阿里云账号(主账号)和RAM用户(子账号)均可在SAE控制台通过权限助手创建权限策略草稿,但该策略只有在部署到RAM控制台后,才具备实际的限制能力。

步骤一:在SAE控制台创建权限策略

  1. 在SAE控制台左侧导航栏,选择企业级特性 > 权限管理。然后在权限助手页面,单击新建权限策略。

  2. 在新建权限策略面板的权限策略配置配置向导,完成以下操作并单击下一步。

    1. 输入策略名称和备注。

      配置项

      说明

      策略名称

      权限策略的自定义名称。必须以字母开头,允许数字、字母、下划线(_)以及短划线(-)组合,不超过36个字符。

      备注

      权限策略的说明。

    2. 单击新增权限语句,在新增权限语句面板完成以下操作并单击确定。

      配置项

      说明

      授权资源

      在下拉列表中依次选择资源维度。

      • 地域:支持单选。

      • 命名空间:支持单选。

      • 应用或任务:支持多选。

      授权操作

      在可选权限复选框内选中需要授予的权限,在已选权限预览框内查看已选权限。授权操作的限制如下:

      • 搜索操作文本框支持模糊搜索,区分英文字母大小写。

      • 已选权限复选框默认显示系统默认读权限。

      • 读写操作具有联动性,因此在选择读写权限时,系统会自动判断并帮您勾选相关的权限。例如当您在写权限下选中应用 > 发布变更时,系统会自动勾选与其相关的读权限。

      image

    您可以在权限策略配置配置向导查看已添加的权限语句,按需执行查看权限、克隆、编辑或删除操作。

    image

    说明

    • 如果您需要对多个命名空间的资源进行权限设置,请新增多条权限语句。

    • 如果您需要复制现有的权限语句或在其基础上进行编辑新增,可以单击克隆,进入克隆权限语句面板,按需编辑并新增权限语句。

  3. 在权限策略预览配置向导,检查生成的权限语句,然后单击完成。

    您可以单击一键复制,复制的RAM授权语句将用于步骤二:在RAM控制台创建自定义权限策略。

    控制台面板将会返回权限助手页面,您可以查看新建的权限策略,并按需执行查看权限、一键复制RAM授权语句、编辑或删除操作。

    重要

    • 通过SAE权限助手生成的权限策略仅适用于操作SAE的资源,且不能超过20条。

    • 当SAE上线新功能时,您需要重新生成RAM权限语句,否则可能会导致原有权限策略下的RAM用户不具备该新功能的权限。

步骤二:在RAM控制台创建自定义权限策略

在RAM控制台创建自定义策略时,您需要将权限策略的内容修改为步骤一:在SAE控制台创建权限策略生成的权限语句。

  1. 使用RAM管理员登录RAM控制台。

  2. 在左侧导航栏,选择权限管理 > 权限策略。

  3. 在权限策略页面,单击创建权限策略。

    image

  4. 在创建权限策略页面,单击脚本编辑页签。

    image

  5. 输入权限策略内容。

    关于权限策略语法结构的详情,请参见权限策略语法和结构。

  6. 单击页面上方的可选:高级策略优化,然后单击执行,对权限策略内容进行高级优化。

    高级权限策略优化功能会完成以下任务:

    • 拆分不兼容操作的资源或条件。

    • 收缩资源到更小范围。

    • 去重或合并语句。

  7. 在创建权限策略页面,单击确定。

  8. 在创建权限策略对话框,输入权限策略名称和备注,然后单击确定。

步骤三:在RAM控制台为RAM用户添加授权

成功创建自定义权限策略后,您需要在RAM控制台为需要该项权限的RAM用户授权。本文以在用户页面为RAM用户授权的方式为例,操作步骤如下所示。更多方式,请参见为RAM用户授权。

  1. 使用RAM管理员登录RAM控制台。

  2. 在左侧导航栏,选择身份管理 > 用户。

  3. 在用户页面,单击目标RAM用户操作列的添加权限。

    image

    您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。

  4. 在新增授权面板,为RAM用户添加权限。

    1. 选择资源范围。

      • 账号级别:权限在当前阿里云账号内生效。

      • 资源组级别:权限在指定的资源组内生效。

        重要

        指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务。

        说明

        系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授权时,尽量避免授予不必要的高风险权限策略。

      • 自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略。

    4. 单击确认新增授权。

  5. 单击关闭。

相关文章

权限策略和示例 2025-04-17 10:59

Serverless 应用引擎 SAE(Serverless App Engine)的权限管理通过阿里云的访问控制RAM(Resource Access Management)实现,避免多用户共享阿里云账号密码或访问密钥(AccessKey ID和AccessKey Secret),从而降低安全风险

SAE权限助手 2025-04-17 10:59

Serverless 应用引擎 SAE(Serverless App Engine)提供权限助手功能,简化SAE相关的RAM权限策略配置。本文介绍如何通过SAE权限助手快速创建权限语句,并在RAM控制台完成最终的权限策略配置。

为RAM用户授权 2025-04-17 10:59

借助访问控制RAM的RAM用户,您可以实现阿里云账号和RAM用户权限分割,按需为RAM用户授予最小权限,避免暴露阿里云账号密钥,从而降低企业的信息安全风险。本文介绍如何为阿里云账号创建RAM用户并按需为其授权。 应用场景

为RAM角色授权 2025-04-17 10:59

您可以为可信实体为阿里云账号、阿里云服务或身份提供商的RAM角色授权。本文介绍如何创建可信实体为阿里云账号的RAM角色,来实现跨账号授权访问Serverless 应用引擎 SAE(Serverless App Engine)的资源。

联系人管理 2025-04-17 10:59

SAE允许您为指定联系人设置权限规则,并配置通知发送等功能。当需要进行权限审批或触发报警时,SAE会通过邮件、钉钉机器人或企业微信机器人等方式向相关联系人发送通知。本文详细说明如何在SAE控制台中完成联系人的创建、查看、编辑及删除操作。

操作审批 2025-04-17 10:59

当企业内部的阿里云账号(主账号)有多个子账号(RAM用户)时,为了降低运维风险,可以设置权限审批规则,使得RAM用户对SAE平台上的重要功能的操作需要经过主账号或

目录
Copyright © 2025 your company All Rights Reserved. Powered by 赛尔网络.
京ICP备14022346号-15
gongan beian 京公网安备11010802041014号