对 RAM 账号进行应用级别的访问控制

前提条件

1. 已经注册了阿里云账号。如还未注册，请先完成 账号注册。

2. 已经创建了 RAM 账户。如还未创建，请先完成 创建 RAM 用户。

操作步骤

1. 为 RAM 用户添加 mPaaS 控制台访问权限。

   1. 使用阿里云账号登录 RAM 控制台。

   2. 在左侧导航栏的 身份管理 菜单下，单击 用户。

   3. 选择需要登录 mPaaS 控制台的 RAM 账户，单击 添加权限。

   4. 在 添加权限 页面，搜索 AliyunMPAASFullAccess权限，单击权限确认选择后，单击 确定。至此，您已完成为 RAM 用户添加 mPaaS 控制台访问权限，该 RAM 用户能够访问主账号创建的所有应用。如您不需要对 RAM 用户进行访问控制，可以跳过以下步骤。

2. 为 RAM 用户添加资源隔离策略。

   1. 使用阿里云账号登录 RAM 控制台。

   2. 在左侧导航栏的权限管理菜单下，单击 权限策略。

   3. 单击 创建权限策略。

   4. 配置模式选择 脚本编辑。

      说明

      mPaaS 目前不支持可视化配置。

   5. 编辑策略内容。您可以直接使用以下 访问指定应用的 RAM 规则 和 访问全部 mPaaS 应用的 RAM 规则 的示例。在使用访问指定应用的 RAM 规则时，您需要将规则中的 App ID 替换为待指定应用的 App ID。需要指定多个应用时，应用的 App ID 以（,）分隔。

      • 访问指定应用的 RAM 规则：

        {
        "Version": "1",
        "Statement": [
        {
          "Action": [
              "mpaas:FilterApp"
          ],
          "Resource": "*",
          "Effect": "Deny",
          "Condition": {
              "StringNotEquals": {
                  "acs:appid": [
                      "ONEXCBAD96A290957",
                      "..."
                  ]
              }
          }
        },
        {
          "Action": [
              "mpaas:*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
        ]
        }

      • 访问全部应用的 RAM 规则：

        {
        "Version": "1",
        "Statement": [
        {
          "Action": [
              "mpaas:*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
        ]
        }

   6. 单击 下一步：继续编辑基本信息。

   7. 输入策略名称和备注，然后单击 确定。

   8. 在左侧导航栏的 身份管理 菜单下，单击 用户。

   9. 选择需要登录 mPaaS 控制台的 RAM 账号，单击 添加权限。

   10. 在 添加权限 页面，搜索刚添加的自定义策略权限，单击权限确认选择后，单击 确定。至此，您已完成为 RAM 用户添加资源隔离策略。