SOFAStack 的权限管理是通过阿里云的访问控制 RAM(Resource Access Management)产品实现的。使用 RAM 可以让您避免与其他用户共享云账号密钥,即 AccessKey(包含 AccessKeyId 和 AccessKeySecret),按需为用户分配最小权限。本文介绍 SOFAStack 在 RAM 中的权限策略。
在 RAM 中,权限策略是用权限策略语法和结构描述的一组权限的集合,可以精确地描述被授权的 Resource(资源集)、Action(操作集)以及授权条件。
目前,SOFAStack 暂未细化资源粒度的权限策略,各资源维度的策略定义将在后续开放。
如何为 RAM 用户授权,请参见 为 RAM 用户授权。
系统策略
SOFAStack 目前提供以下几种系统默认的权限策略。
随着产品功能演进,系统提供的权限策略内容会不断更新,请以控制台实际页面为准。
AliyunSOFAFullAccess:SOFAStack 管理员权限。被授予该权限的 RAM 用户具有 SOFAStack 中所有资源的操作权限。
策略如下:
{ "Version":"1", "Statement":[ { "Action":"sofa:*", "Effect":"Allow", "Resource":"*" } ], }AliyunSOFAReadOnlyAccess:SOFAStack 只读权限。被授予该权限的 RAM 用户仅具备通过访问控制台或调用管控 API 读取 SOFAStack 所有资源的权限。
策略如下:
{ "Version":"1", "Statement":[ { "Action":[ "sofa:Get*", "sofa:List*", "sofa:Query*", "sofa:Find*", "sofa:Exist*", "sofa:Count*" ], "Resource":"*", "Effect":"Allow" } ] }- AliyunSOFAMiddlewareObserverAccess:中间件观察者权限。被授予该权限的 RAM 用户仅具备 SOFAStack 中间件产品的查看权限,如查看微服务配置、调度任务、消息主题等。拥有该系统角色不能做配置操作、删除等。策略详情请参见 AliyunSOFAMiddlewareObserverAccess。
- AliyunSOFAMiddlewareDeveloperAccess:中间件开发者权限。被授予该权限的 RAM 用户仅具备 SOFAStack 中间件产品的操作权限,如限流配置增加、任务触发等。 该角色不具备一些高危操作权限,如删除配置等。策略详情请参见 AliyunSOFAMiddlewareDeveloperAccess。
- AliyunSOFAMiddlewareAdministratorAccess:中间件管理员权限。被授予该权限的 RAM 用户具备 SOFAStack 中间件产品的所有权限,如增加、删除配置等。策略详情请参见 AliyunSOFAMiddlewareAdministratorAccess。
系统角色
开通 SOFAStack 时默认会添加系统角色 AliyunSofaCafeCasDefaultRole,该角色默认的权限策略 AliyunSofaCafeCasRolePolicy 定义了 SOFAStack 产品拥有访问阿里云基础资源的权限,例如 ECS、VPC、SLB、OSS、RAM 等,在开通 SOFAStack 时经用户同意取得授权。策略详情请参见 AliyunSofaCafeCasRolePolicy。