配置使用自定義域名時(shí)的RAM訪問控制
若您需要容器鏡像服務(wù)ACR能夠通過自定義域名訪問和管理SSL證書,您可以通過為該賬號(hào)添加RAM角色,并為該RAM角色授權(quán)對(duì)阿里云SSL證書操作權(quán)限的方式,來實(shí)現(xiàn)安全的自定義域名訪問。
步驟一:創(chuàng)建RAM角色
容器鏡像服務(wù)訪問自定義域名時(shí),需要為阿里云賬號(hào)創(chuàng)建名為AliyunContainerRegistryCustomizedDomainRole的角色。
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在角色頁面,單擊創(chuàng)建角色。
在創(chuàng)建角色頁面,選擇可信實(shí)體類型為阿里云賬號(hào),然后單擊下一步。
設(shè)置角色名稱為AliyunContainerRegistryCustomizedDomainRole,輸入備注,選擇信任的云賬號(hào)為當(dāng)前云賬號(hào)。單擊完成。
說明若選擇其他云賬號(hào),需要填寫其他云賬號(hào)的ID。
步驟二:配置RAM角色的權(quán)限策略
配置RAM角色的權(quán)限策略,使其擁有對(duì)阿里云SSL證書資源讀取的權(quán)限。
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在角色頁面,單擊AliyunContainerRegistryCustomizedDomainRole操作列的新增授權(quán)。
在新增授權(quán)面板,選擇資源范圍為賬號(hào)級(jí)別,然后在權(quán)限策略搜索框中搜索AliyunYundunCertReadOnlyAccess,并對(duì)其勾選。
說明在右側(cè)區(qū)域框,選擇某條策略并單擊×,可撤銷該策略。
單擊確認(rèn)新增授權(quán)。
單擊關(guān)閉。
步驟三:配置RAM角色的信任策略
為該RAM角色的信任策略中添加容器鏡像服務(wù),使容器鏡像服務(wù)可以訪問阿里云SSL證書。
使用RAM管理員登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在角色頁面,單擊角色名稱列下的AliyunContainerRegistryCustomizedDomainRole。
在信任策略頁簽,單擊編輯信任策略。
拷貝以下內(nèi)容到文本框中,然后單擊保存信任策略。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "cr.aliyuncs.com" ] } } ], "Version": "1" }