应用管理与运维平台 SERVICESTAGE-权限管理:ServiceStage权限

时间：2024-10-18 10:27:35

默认情况下，新建的 IAM 用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。

ServiceStage资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ServiceStage时，需要先切换至授权区域。

根据授权精细程度分为角色和策略：

角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。
策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

如表1所示，包括了ServiceStage的所有系统权限。推荐使用系统策略，系统角色仅用于兼容已有的权限配置。

表1 ServiceStage系统权限
系统角色/策略名称	描述	类别	依赖关系
ServiceStage FullAccess	应用管理与运维平台所有权限。	系统策略	无
ServiceStage ReadOnlyAccess	应用管理与运维平台只读权限。	系统策略	无
ServiceStage Development	应用管理与运维平台开发者权限。拥有应用、组件、环境的操作权限，但无审批权限和基础设施创建权限。	系统策略	无
CS E FullAccess	微服务引擎管理员权限。	系统策略	无
CSE ReadOnlyAccess	微服务引擎查看权限。	系统策略	无
ServiceStage Administrator	应用管理与运维平台管理员，拥有该服务下的所有权限。	系统角色	Tenant Guest、Server Administrator、CCE Administrator、 APM Administrator。
ServiceStage Operator	应用管理与运维平台操作员，拥有该服务下的只读权限。	系统角色	Tenant Guest
ServiceStage Developer	应用管理与运维平台开发者，拥有该服务下的所有权限，但无基础设施创建权限。	系统角色	Tenant Guest

如果表1所列的这些权限不满足实际需求，您可以参考表2和表3，在这个基础上自定义策略。其中，“√”表示支持，“x”表示不支持。

表2 ServiceStage常用操作与系统权限之间的关系
操作	ServiceStage ReadOnlyAccess	ServiceStage Development	ServiceStage FullAccess
创建应用	x	√	√
修改应用	x	√	√
查询应用	√	√	√
删除应用	x	√	√
创建组件	x	√	√
查询组件	√	√	√
部署组件	x	√	√
维护组件	x	√	√
删除组件	x	√	√
创建构建工程	x	√	√
修改构建工程	x	√	√
查询构建工程	√	√	√
启动构建工程	x	√	√
删除构建工程	x	√	√
创建流水线	x	√	√
修改流水线	x	√	√
查询流水线	√	√	√
启动流水线	x	√	√
克隆流水线	x	√	√
删除流水线	x	√	√
新建仓库授权	x	√	√
修改仓库授权	x	√	√
查询仓库授权	√	√	√
删除仓库授权	x	√	√