概述

授權策略（AuthorizationPolicy）提供全局、命名空間級工作負載級別的訪問控制，支持工作負載之間及終端用戶對網格內的工作負載的訪問控制策略。

授權策略配置粒度

授權策略支持三種配置粒度，全局、命名空間和工作負載級；

1. 當策略的命名空間為系統命名空間時（默認為istio-system），策略為全局生效；
2. 當策略命名空間不是系統命名空間，且沒有選擇工作負載，策略將只在當前命名空間生效并覆蓋全局策略；
3. 當策略在非系統命名空間，且選擇了工作負載，則只對指定工作負載生效。

下面的配置定義了對foo命名空間下的服務的授權策略：

1. 請求方的service account是cluster.local/ns/default/sa/sleep或者命名空間是test。
2. 只能對foo命名空間下的GET /info接口或者POST /data接口。
3. 請求必須經過jwt認證，且iss必須是//accounts.google.com。
4. 其他情況全部拒絕訪問。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: httpbin
  namespace: foo
spec:
  action: ALLOW
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/sleep"]
    - source:
        namespaces: ["test"]
    to:
    - operation:
        methods: ["GET"]
        paths: ["/info*"]
    - operation:
        methods: ["POST"]
        paths: ["/data"]
    when:
    - key: request.auth.claims[iss]
      values: ["//accounts.google.com"]

創建授權策略

1. 進入服務網格控制臺，選擇 網格安全中心 -> 授權策略，選擇命名空間，列表頁默認展示當前命名空間下的授權策略。
2. 選擇左上角 使用YAML創建，選擇配置模板，編輯保存策略即可。

修改授權策略

1. 進入服務網格控制臺，選擇 網格安全中心 -> 授權策略，選擇命名空間，列表頁默認展示當前命名空間下的授權策略。
2. 選擇右側操作欄的修改，編輯保存策略即可。

刪除授權策略

1. 進入服務網格控制臺，選擇 網格安全中心 -> 授權策略，選擇命名空間，列表頁默認展示當前命名空間下的授權策略。
2. 選擇右側操作欄的刪除，即可刪除選中的策略。

AuthorizationPolicy配置說明：

Rule：定義具體的授權規則

Source：對應From.source字段，定義請求源的匹配規則，所有條件是and關系（需要同時滿足）

Operation：對應To.operation字段，定義了請求對目標端的操作信息

Condition：定義了其他匹配條件

                    
說明
                    
存在多個授權策略的情況下優先匹配action=CUSTOM的策略，其次匹配action=DENY的策略，最后匹配action=ALLOW的策略，如果中間匹配到拒絕的場景，則拒絕請求，否則繼續執行后續策略。