日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云消息隊列 RabbitMQ 版 安全合規(guī) 使用RAM進行訪問控制 基于身份的策略 RAM跨云賬號授權

RAM跨云賬號授權

更新時間:
我的收藏

借助訪問控制RAM的RAM角色,您可以跨云賬號授權,使某個企業(yè)訪問另一個企業(yè)的云消息隊列 RabbitMQ 版

背景信息

企業(yè)A開通了云消息隊列 RabbitMQ 版,該企業(yè)需要企業(yè)B代為操作云消息隊列 RabbitMQ 版的資源,例如實例、Topic、Consumer Group。企業(yè)A的需求如下:

  • 企業(yè)A希望能專注于業(yè)務系統(tǒng),僅作為云消息隊列 RabbitMQ 版所有者。企業(yè)A希望可以授權企業(yè)B來操作部分業(yè)務,例如:云消息隊列 RabbitMQ 版的運維、監(jiān)控以及管理等。

  • 企業(yè)A希望當企業(yè)B的員工加入或離職時,無需做任何權限變更。企業(yè)B可以進一步將企業(yè)A的資源訪問權限分配給企業(yè)B的RAM用戶(員工或應用),并可以精細控制其員工或應用對資源的訪問和操作權限。

  • 企業(yè)A希望如果雙方合同終止,企業(yè)A隨時可以撤銷企業(yè)B的授權。

步驟一:企業(yè)A創(chuàng)建RAM角色

使用企業(yè)A的阿里云賬號登錄RAM控制臺為企業(yè)B的阿里云賬號創(chuàng)建RAM角色。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色

  3. 角色頁面,單擊創(chuàng)建角色

  4. 創(chuàng)建角色頁面,選擇可信實體類型為阿里云賬號,然后單擊下一步

  5. 角色名稱文本框,輸入RAM角色名稱,在選擇信任的云賬號區(qū)域,選擇其他云賬號,輸入企業(yè)B的阿里云賬號的賬號ID,然后單擊完成

    說明

    • RAM角色名稱允許英文字母、數(shù)字和短劃線(-),長度不超過64個字符。

    • 賬號ID可以在賬號中心控制臺的基本信息頁面查看。

步驟二:企業(yè)A為RAM角色添加權限

為RAM角色添加需要授予給企業(yè)B的訪問云消息隊列 RabbitMQ 版的權限。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色

  3. 角色頁面,單擊目標RAM角色操作列的新增授權

    image

    您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色批量授權。

  4. 新增授權面板的權限策略區(qū)域,搜索框中輸入需要添加的權限策略,單擊該權限將其添加至右側的已選擇權限策略列表中,然后單擊確認新增授權

    說明

    支持授予的訪問云消息隊列 RabbitMQ 版的權限策略請參見RAM權限策略

步驟三:企業(yè)B創(chuàng)建RAM用戶

使用企業(yè)B的阿里云賬號登錄RAM控制臺并創(chuàng)建RAM用戶。

操作步驟

  1. 使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 用戶

  3. 用戶頁面,單擊創(chuàng)建用戶

  4. 創(chuàng)建用戶頁面的用戶賬號信息區(qū)域,設置用戶基本信息。

    • 登錄名稱:可包含英文字母、數(shù)字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。

    • 顯示名稱:最多包含128個字符或漢字。

    • 標簽:單擊edit,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續(xù)基于標簽的用戶管理。

    說明

    單擊添加用戶,可以批量創(chuàng)建多個RAM用戶。

  5. 訪問方式區(qū)域,選擇訪問方式,然后設置對應參數(shù)。

    為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。

    • 控制臺訪問

      如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數(shù):

      • 控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規(guī)則。更多信息,請參見設置RAM用戶密碼強度

      • 密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。

      • 多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,主賬號還需要為RAM用戶綁定MFA設備或RAM用戶自行綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備

    • OpenAPI調用訪問

      如果RAM用戶代表應用程序,建議啟用OpenAPI調用訪問,使用訪問密鑰(AccessKey)訪問阿里云。啟用后,系統(tǒng)會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創(chuàng)建AccessKey

      重要

      RAM用戶的AccessKey Secret只在創(chuàng)建時顯示,不支持查看,請妥善保管。

  6. 單擊確定

  7. 根據(jù)界面提示,完成安全驗證。

步驟四:企業(yè)B為RAM用戶添加權限

為RAM用戶添加AliyunSTSAssumeRoleAccess的權限。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 用戶

  3. 用戶頁面,單擊目標RAM用戶操作列的添加權限

  4. 新增授權面板的權限策略區(qū)域,搜索框中輸入AliyunSTSAssumeRoleAccess,單擊該權限策略將其添加至右側的已選擇權限策略列表中,然后單擊確認新增授權

后續(xù)步驟

企業(yè)B的RAM用戶可以通過以下方式訪問企業(yè)A的云消息隊列 RabbitMQ 版

  • 控制臺

    1. 在瀏覽器打開RAM用戶登錄入口

    2. RAM用戶登錄頁面,輸入RAM用戶名稱,單擊下一步,輸入RAM用戶密碼,然后單擊登錄

      說明

      RAM用戶登錄名稱的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com<$AccountAlias>為賬號別名,如果沒有設置賬號別名,則默認值為阿里云賬號的ID。

    3. 在阿里云控制臺首頁,將鼠標指針移到右上角頭像,在浮層單擊切換身份

    4. 阿里云-角色切換頁面,輸入企業(yè)A的企業(yè)別名或默認域名,以及角色名,然后單擊提交

      說明

      • 企業(yè)別名:使用企業(yè)A的阿里云賬號在阿里云賬號費用與成本頁面,將鼠標指針移到右上角頭像,在浮層查看。

      • 默認域名:使用企業(yè)A的阿里云賬號在RAM控制臺的設置頁面,單擊高級設置頁簽查看。

  • API

    1. 調用AssumeRole接口獲取AccessKey ID、AccessKey Secret和SecurityToken(臨時安全令牌)。詳情請參見AssumeRole

    2. 在代碼中使用獲取的AccessKey ID、AccessKey Secret和SecurityToken(臨時安全令牌)調用API訪問云消息隊列 RabbitMQ 版