日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺(tái)
文檔
輸入文檔關(guān)鍵字查找
首頁(yè) 云消息隊(duì)列 RocketMQ 版 云消息隊(duì)列 RocketMQ 4.x系列 安全合規(guī) 使用RAM進(jìn)行訪問(wèn)控制 通過(guò)RAM角色實(shí)現(xiàn)跨云賬號(hào)授權(quán)

通過(guò)RAM角色實(shí)現(xiàn)跨云賬號(hào)授權(quán)

更新時(shí)間:
產(chǎn)品詳情
我的收藏

使用企業(yè)A的阿里云賬號(hào)(主賬號(hào))創(chuàng)建RAM角色并為該角色授權(quán),并將該角色賦予企業(yè)B,即可實(shí)現(xiàn)使用企業(yè)B的主賬號(hào)或其RAM用戶(hù)(子賬號(hào))訪問(wèn)企業(yè)A的阿里云資源的目的。

背景信息

企業(yè)A購(gòu)買(mǎi)了云消息隊(duì)列 RocketMQ 版服務(wù)來(lái)開(kāi)展業(yè)務(wù),并希望將部分業(yè)務(wù)授權(quán)給企業(yè)B。

需求說(shuō)明:

  • A希望能專(zhuān)注于業(yè)務(wù)系統(tǒng),僅作為資源Owner;而消息發(fā)布和訂閱等任務(wù)委托或授權(quán)給企業(yè)B。

  • 企業(yè)A希望當(dāng)企業(yè)B的員工加入或離職時(shí),無(wú)需做任何權(quán)限變更。企業(yè)B可以進(jìn)一步將A的資源訪問(wèn)權(quán)限分配給B的RAM用戶(hù)(員工或應(yīng)用),并可以精細(xì)控制其員工或應(yīng)用對(duì)資源的訪問(wèn)和操作權(quán)限。

  • 企業(yè)A希望如果雙方合同終止,企業(yè)A隨時(shí)可以撤銷(xiāo)對(duì)企業(yè)B的授權(quán)。

解決方案

企業(yè)A需要授予企業(yè)B的員工對(duì)云消息隊(duì)列 RocketMQ 版的資源進(jìn)行操作。假設(shè)企業(yè)A和企業(yè)B分別有一個(gè)阿里云賬號(hào)A和阿里云賬號(hào)B,需要完成以下操作完成企業(yè)A和企業(yè)B的跨云賬號(hào)授權(quán)及資源訪問(wèn):

  1. 步驟一:創(chuàng)建RAM角色并授權(quán)

    阿里云賬號(hào)A創(chuàng)建一個(gè)RAM角色,并根據(jù)業(yè)務(wù)范圍和需求為RAM角色授予對(duì)應(yīng)的權(quán)限,并允許阿里云賬號(hào)B下的RAM用戶(hù)扮演該角色。

  2. 步驟二:跨云賬號(hào)訪問(wèn)資源

    RAM角色授權(quán)完成后,阿里云賬號(hào)B下的RAM用戶(hù)通過(guò)扮演RAM角色可獲取該角色對(duì)應(yīng)的權(quán)限。RAM用戶(hù)可通過(guò)以下方式訪問(wèn)阿里云賬號(hào)A的資源:

    • 通過(guò)SDK訪問(wèn)資源

    • 通過(guò)控制臺(tái)訪問(wèn)資源

    • 通過(guò)API訪問(wèn)資源

步驟一:創(chuàng)建RAM角色并授權(quán)

  1. 首先需要使用企業(yè)A的阿里云賬號(hào)(主賬號(hào))登錄RAM控制臺(tái)并為企業(yè)B的云賬號(hào)創(chuàng)建RAM角色。

  2. 可選:企業(yè)A為剛創(chuàng)建的RAM角色創(chuàng)建自定義策略。

    具體步驟,請(qǐng)參見(jiàn)創(chuàng)建自定義權(quán)限策略

    目前,云消息隊(duì)列 RocketMQ 版支持實(shí)例、Topic和Group粒度的權(quán)限設(shè)置。更多信息,請(qǐng)參見(jiàn)云消息隊(duì)列 RocketMQ 版自定義權(quán)限策略

  3. 新創(chuàng)建的角色沒(méi)有任何權(quán)限,因此企業(yè)A必須為該角色添加權(quán)限。可添加系統(tǒng)權(quán)限策略或自定義權(quán)限策略。

    具體步驟,請(qǐng)參見(jiàn)為RAM用戶(hù)授權(quán)

  4. 使用企業(yè)B的阿里云賬號(hào)(主賬號(hào))登錄RAM控制臺(tái)并創(chuàng)建RAM用戶(hù)。

    具體步驟,請(qǐng)參見(jiàn)為企業(yè)B創(chuàng)建RAM用戶(hù)

  5. 企業(yè)B為RAM用戶(hù)添加AliyunSTSAssumeRoleAccess權(quán)限。

    具體步驟,請(qǐng)參見(jiàn)為RAM用戶(hù)授權(quán)

    企業(yè)B必須為其主賬號(hào)下的RAM用戶(hù)添加AliyunSTSAssumeRoleAccess權(quán)限,RAM用戶(hù)才能扮演企業(yè)A創(chuàng)建的RAM角色。

步驟二:跨云賬號(hào)訪問(wèn)資源

  • 通過(guò)SDK訪問(wèn)資源

    企業(yè)B的RAM用戶(hù)可通過(guò)SDK訪問(wèn)企業(yè)A的云消息隊(duì)列 RocketMQ 版資源,完成消息收發(fā)功能。SDK訪問(wèn)有以下兩種配置方式:

    • 配置STS Token:使用STS Token方式,您必須在SDK代碼中提供RAM用戶(hù)的AccessKey ID、AccessKey Secret和SecurityToken(臨時(shí)安全令牌),但是SecurityToken有時(shí)效性需要不斷更新。使用STS獲取臨時(shí)安全令牌的方法,請(qǐng)參見(jiàn)AssumeRole

      重要

      • STS方式只適用于云消息隊(duì)列 RocketMQ 版的Java SDK 1.7.8.Final及以上版本。

      • 獲取AccessKey ID和AccessKey Secret,請(qǐng)參見(jiàn)創(chuàng)建AccessKey

      STS Token配置示例

      • 初始化云消息隊(duì)列 RocketMQ 版的客戶(hù)端時(shí),您只需將獲取到的AccessKey ID、AccessKey Secret和SecurityToken填入到以下屬性中即可:

        Properties properties = new Properties();
// 請(qǐng)確保環(huán)境變量ALIBABA_CLOUD_ACCESS_KEY_ID、ALIBABA_CLOUD_ACCESS_KEY_SECRET和ALIBABA_CLOUD_SECURITY_TOKEN已設(shè)置。
// STS的AccessKey ID。
properties.put(PropertyKeyConst.AccessKey, System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"));
// STS的AccessKey Secret。
properties.put(PropertyKeyConst.SecretKey, System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
// STS的SecurityToken。
properties.put(PropertyKeyConst.SecurityToken, System.getenv("ALIBABA_CLOUD_SECURITY_TOKEN"));
// 其他屬性。
properties.put(PropertyKeyConst.NAMESRV_ADDR, "XXX");
......
Producer client = ONSFactory.createProducer(properties);
client.start();

      • 當(dāng)SecurityToken過(guò)期時(shí),調(diào)用updateCredential方法動(dòng)態(tài)更新。

        Properties properties = new Properties();
// 請(qǐng)確保環(huán)境變量ALIBABA_CLOUD_ACCESS_KEY_ID、ALIBABA_CLOUD_ACCESS_KEY_SECRET和ALIBABA_CLOUD_SECURITY_TOKEN已設(shè)置。
// STS的AccessKey ID。
properties.put(PropertyKeyConst.AccessKey, System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"));
// STS的AccessKey Secret。
properties.put(PropertyKeyConst.SecretKey, System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
// STS的SecurityToken。
properties.put(PropertyKeyConst.SecurityToken, System.getenv("ALIBABA_CLOUD_SECURITY_TOKEN"));
client.updateCredential(properties);

    • 配置ECS實(shí)例RAM角色:使用ECS實(shí)例RAM角色的方式,您無(wú)需在SDK中配置RAM用戶(hù)的AccessKey ID、AccessKey Secret和SecurityToken信息,只需要輸入創(chuàng)建的RAM角色名稱(chēng)即可,提高了代碼配置的便利性。但是您需要先將創(chuàng)建的RAM角色與應(yīng)用程序所部署的ECS實(shí)例完成綁定,將RAM角色權(quán)限授予ECS實(shí)例,具體步驟,請(qǐng)參見(jiàn)為實(shí)例授予RAM角色

      重要

      ECS實(shí)例RAM角色方式只適用于云消息隊(duì)列 RocketMQ 版的Java SDK 1.8.7.3.Final及以上版本。

      ECS實(shí)例RAM角色配置示例

      Properties properties = new Properties();
// 您創(chuàng)建的RAM角色的名稱(chēng),并且已將該RAM角色授予ECS實(shí)例。
properties.put(PropertyKeyConst.RAM_ROLE_NAME,"XXX");

  • 通過(guò)控制臺(tái)訪問(wèn)資源

    企業(yè)B的RAM用戶(hù)可按照以下步驟登錄控制臺(tái)訪問(wèn)企業(yè)A的云消息隊(duì)列 RocketMQ 版資源。

    1. 在瀏覽器中打開(kāi)RAM用戶(hù)登錄入口

    2. RAM用戶(hù)登錄頁(yè)面上,輸入RAM用戶(hù)登錄名稱(chēng),單擊下一步,并輸入RAM用戶(hù)密碼,然后單擊登錄

      說(shuō)明

      RAM用戶(hù)登錄名稱(chēng)的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com<$AccountAlias>為賬號(hào)別名,如果沒(méi)有設(shè)置賬號(hào)別名,則默認(rèn)值為阿里云賬號(hào)(主賬號(hào))的ID。

    3. 在阿里云控制臺(tái)登錄頁(yè)面,將鼠標(biāo)指針移到右上角頭像上,并在浮層中單擊切換身份

    4. 阿里云-角色切換頁(yè)面,輸入企業(yè)A的企業(yè)別名默認(rèn)域名主賬號(hào)UID中的任意一種,以及角色名,然后單擊提交

    5. 對(duì)企業(yè)A的云消息隊(duì)列 RocketMQ 版資源進(jìn)行操作。

  • 通過(guò)API訪問(wèn)資源

    企業(yè)B的RAM用戶(hù)可通過(guò)調(diào)用云消息隊(duì)列 RocketMQ 版提供的API接口訪問(wèn)企業(yè)A的資源。調(diào)用API的方法,請(qǐng)參見(jiàn)API調(diào)用方式

更多信息