产品概述
应用看板介绍
package.yaml 文件中定义权限策略语法,即可控制应用的权限范围。args:- name: app_coslabel: 选择存储桶widget: cos-bucket-selectrole:policy:version: "2.0"statement:# 权限 1:支持 LICENSE 校验- action:- cloudapp:DescribeLicenseresource: "*"effect: allow# 权限 2:支持重启应用实例标签下的 CVM- action:- cvm:RebootInstancesresource: "*"condition:"for_any_value:string_equal":"qcs:tag":- "CloudappId&${var.cloudapp_id}"effect: "allow"# 权限 3:支持访问安装时选中的 COS 存储桶- action:- "cos:*"resource:- "qcs::cos:${var.app_cos.region}:uid/${var.app_cos.app_id}:${var.app_cos.bucket}/*"- "qcs::cos:${var.app_cos.region}:uid/${var.app_cos.app_id}:${var.app_cos.bucket}/"effect: allow
role.policy 声明权限策略遵循「所见即所得」的原则,运行时角色具有的所有权限都需要在 package.yaml 中显性声明。var.cloudapp_id 系统变量,实现按标签授权。var.app_cos 安装参数,实现资源级授权。scopes.cloudAPI 声明的权限依然生效。role.policy 来声明权限策略。scopes.cloudAPI 声明运行时角色具有的权限,示例如下:scopes:cloudAPI:- cvm:DescribeInstances
role:policy:version: "2.0"statement:- action:- cvm:DescribeInstances- cloudapp:DescribeLicenseresource: "*"effect: allow
cloudapp:DescribeLicense 接口到权限策略,无需显性声明。新版本中,运行时角色的权限仅包含显性声明的接口,您需要在 role.policy 中显性声明 cloudapp:DescribeLicense,否则应用无法 对接 License。scopes.cloudAPI 字段需要删除。文档反馈