云連接網(wǎng)授權(quán)
云連接網(wǎng)CCN(Cloud Connect Network)實(shí)例被連接到轉(zhuǎn)發(fā)路由器實(shí)例后,云連接網(wǎng)實(shí)例關(guān)聯(lián)的本地網(wǎng)絡(luò)可以通過(guò)轉(zhuǎn)發(fā)路由器實(shí)例訪問(wèn)PrivateZone服務(wù),在本地網(wǎng)絡(luò)訪問(wèn)PrivateZone服務(wù)前,您需要為云連接網(wǎng)實(shí)例授權(quán)。本文介紹在不同場(chǎng)景下如何為云連接網(wǎng)實(shí)例授權(quán)。
場(chǎng)景一:所有實(shí)例的賬號(hào)相同
如上圖所示,云連接網(wǎng)實(shí)例、部署了PrivateZone服務(wù)的專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)實(shí)例和轉(zhuǎn)發(fā)路由器實(shí)例屬于同一個(gè)阿里云賬號(hào)。在此場(chǎng)景下,您可以在云企業(yè)網(wǎng)管理控制臺(tái)直接對(duì)云連接網(wǎng)實(shí)例授權(quán)。各個(gè)實(shí)例所屬賬號(hào)ID如下表所示。
資源 | 資源所屬賬號(hào)ID |
轉(zhuǎn)發(fā)路由器實(shí)例 | 253460731706911258 |
專有網(wǎng)絡(luò)實(shí)例 | 253460731706911258 |
云連接網(wǎng)實(shí)例 | 253460731706911258 |
- 登錄云企業(yè)網(wǎng)管理控制臺(tái)。
- 在云企業(yè)網(wǎng)實(shí)例頁(yè)面,找到目標(biāo)云企業(yè)網(wǎng)實(shí)例,單擊目標(biāo)實(shí)例ID。
在頁(yè)簽,根據(jù)PrivateZone服務(wù)關(guān)聯(lián)的專有網(wǎng)絡(luò)實(shí)例的地域,單擊該地域的轉(zhuǎn)發(fā)路由器實(shí)例ID。
在轉(zhuǎn)發(fā)路由器實(shí)例詳情頁(yè)面,單擊Private Zone頁(yè)簽,然后單擊點(diǎn)擊授權(quán)。在云資源訪問(wèn)授權(quán)頁(yè)面,單擊同意授權(quán)。
說(shuō)明只有在第一次設(shè)置訪問(wèn)PrivateZone服務(wù)時(shí)需要對(duì)智能接入網(wǎng)關(guān)進(jìn)行授權(quán)。授權(quán)完成后,連接到轉(zhuǎn)發(fā)路由器實(shí)例的云連接網(wǎng)(智能接入網(wǎng)關(guān)的組成部分)實(shí)例即被允許訪問(wèn)PrivateZone服務(wù)。
授權(quán)后,系統(tǒng)會(huì)為當(dāng)前賬號(hào)自動(dòng)添加一個(gè)名稱為AliyunSmartAGAccessingPVTZRole的RAM角色。您可以在訪問(wèn)控制管理控制臺(tái)的頁(yè)面,搜索角色并查看角色信息。
場(chǎng)景二:云連接網(wǎng)實(shí)例的賬號(hào)不同
如上圖所示,轉(zhuǎn)發(fā)路由器實(shí)例和部署了PrivateZone服務(wù)的專有網(wǎng)絡(luò)實(shí)例屬于同一個(gè)阿里云賬號(hào),云連接網(wǎng)實(shí)例屬于另一個(gè)阿里云賬號(hào)。在此場(chǎng)景下,需要修改專有網(wǎng)絡(luò)實(shí)例所屬賬號(hào)的授權(quán)策略。各個(gè)實(shí)例所屬賬號(hào)ID如下表所示。
資源 | 資源所屬賬號(hào)ID |
轉(zhuǎn)發(fā)路由器實(shí)例 | 253460731706911258 |
專有網(wǎng)絡(luò)實(shí)例 | 253460731706911258 |
云連接網(wǎng)實(shí)例 | 271598332402530847 |
在專有網(wǎng)絡(luò)實(shí)例所屬賬號(hào)中操作授權(quán),允許同賬號(hào)的云連接網(wǎng)實(shí)例訪問(wèn)PrivateZone服務(wù)。
使用專有網(wǎng)絡(luò)實(shí)例所屬賬號(hào)登錄云企業(yè)網(wǎng)管理控制臺(tái)。
在云企業(yè)網(wǎng)實(shí)例頁(yè)面,找到目標(biāo)云企業(yè)網(wǎng)實(shí)例,單擊目標(biāo)實(shí)例ID。
在頁(yè)簽,根據(jù)PrivateZone服務(wù)關(guān)聯(lián)的專有網(wǎng)絡(luò)實(shí)例的地域,單擊該地域的轉(zhuǎn)發(fā)路由器實(shí)例ID。
在轉(zhuǎn)發(fā)路由器實(shí)例詳情頁(yè)面,單擊Private Zone頁(yè)簽,然后單擊點(diǎn)擊授權(quán)。在云資源訪問(wèn)授權(quán)頁(yè)面,單擊同意授權(quán)。
說(shuō)明只有在第一次設(shè)置訪問(wèn)PrivateZone服務(wù)時(shí)需要對(duì)智能接入網(wǎng)關(guān)進(jìn)行授權(quán)。授權(quán)完成后,連接到轉(zhuǎn)發(fā)路由器實(shí)例的云連接網(wǎng)(智能接入網(wǎng)關(guān)的組成部分)實(shí)例即被允許訪問(wèn)PrivateZone服務(wù)。
修改專有網(wǎng)絡(luò)實(shí)例所屬賬號(hào)下AliyunSmartAGAccessingPVTZRole角色的信任策略,允許跨賬號(hào)的云連接網(wǎng)實(shí)例訪問(wèn)PrivateZone服務(wù)。
使用專有網(wǎng)絡(luò)實(shí)例所屬賬號(hào)登錄訪問(wèn)控制管理控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在角色頁(yè)面的搜索框內(nèi)輸入AliyunSmartAGAccessingPVTZRole,搜索該角色,然后單擊角色名稱。
在角色詳情頁(yè)面,單擊信任策略頁(yè)簽,然后單擊編輯信任策略。
在Service中添加一條記錄:
"云連接網(wǎng)實(shí)例所屬阿里云賬號(hào)ID@smartag.aliyuncs.com",然后單擊保存信任策略。
場(chǎng)景三:轉(zhuǎn)發(fā)路由器實(shí)例的賬號(hào)不同
如上圖所示,云連接網(wǎng)實(shí)例和部署了PrivateZone服務(wù)的專有網(wǎng)絡(luò)實(shí)例屬于同一個(gè)阿里云賬號(hào),轉(zhuǎn)發(fā)路由器實(shí)例屬于另一個(gè)阿里云賬號(hào)。在此種場(chǎng)景下,需要在專有網(wǎng)絡(luò)實(shí)例所屬的賬號(hào)中創(chuàng)建授權(quán)策略。各個(gè)實(shí)例所屬賬號(hào)ID如下表所示。
資源 | 所屬賬號(hào)ID |
轉(zhuǎn)發(fā)路由器實(shí)例 | 271598332402530847 |
專有網(wǎng)絡(luò)實(shí)例 | 253460731706911258 |
云連接網(wǎng)實(shí)例 | 253460731706911258 |
使用專有網(wǎng)絡(luò)實(shí)例所屬賬號(hào)登錄訪問(wèn)控制管理控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在角色頁(yè)面,單擊創(chuàng)建角色。
在創(chuàng)建角色面板,根據(jù)以下信息創(chuàng)建角色。
在選擇類型向?qū)姘澹x擇阿里云服務(wù),然后單擊下一步。
在配置角色向?qū)姘澹渲靡韵滦畔ⅲ缓髥螕?b data-tag="uicontrol" id="uicontrol-eur-hb4-5tm" class="uicontrol">完成。
角色類型:選擇普通服務(wù)角色。
角色名稱:輸入AliyunSmartAGAccessingPVTZRole。
選擇授信服務(wù):選擇智能接入網(wǎng)關(guān)。
更多信息,請(qǐng)參見(jiàn)創(chuàng)建可信實(shí)體為阿里云服務(wù)的RAM角色。
在創(chuàng)建角色面板,單擊關(guān)閉,回到角色頁(yè)面。
在角色頁(yè)面,通過(guò)搜索框搜索新建的AliyunSmartAGAccessingPVTZRole角色,然后單擊角色名稱。
在權(quán)限管理頁(yè)簽,單擊新增授權(quán),進(jìn)入新增授權(quán)面板。
在系統(tǒng)策略下的搜索框中輸入pvtz關(guān)鍵字,找到AliyunPvtzReadOnlyAccess權(quán)限策略,然后單擊權(quán)限策略名稱,添加只讀訪問(wèn)PrivateZone服務(wù)的權(quán)限,然后單擊確定。
在新增授權(quán)面板,單擊完成,回到角色詳情頁(yè)面。
在角色詳情頁(yè)面,單擊信任策略頁(yè)簽,查看授權(quán)信息。
場(chǎng)景四:所有實(shí)例的賬號(hào)均不相同
如上圖所示,云連接網(wǎng)實(shí)例、部署了PrivateZone服務(wù)的專有網(wǎng)絡(luò)實(shí)例、轉(zhuǎn)發(fā)路由器實(shí)例的賬號(hào)都不相同。在此場(chǎng)景下,需要完成兩個(gè)授權(quán)任務(wù)。 各個(gè)實(shí)例所屬賬號(hào)ID如下表所示。
資源 | 所屬賬號(hào)ID |
轉(zhuǎn)發(fā)路由器實(shí)例 | 253460731706911258 |
專有網(wǎng)絡(luò)實(shí)例 | 283117732402483989 |
云連接網(wǎng)實(shí)例 | 271598332402530847 |
參見(jiàn)場(chǎng)景三的方法,在專有網(wǎng)絡(luò)實(shí)例所屬的賬號(hào)中創(chuàng)建一個(gè)角色并完成授權(quán)。
參見(jiàn)場(chǎng)景二的方法,在專有網(wǎng)絡(luò)實(shí)例所屬的賬號(hào)中添加對(duì)云連接網(wǎng)實(shí)例的授權(quán)。
如果有多個(gè)云連接網(wǎng)實(shí)例且云連接網(wǎng)實(shí)所屬的阿里云賬號(hào)都不相同,您只需要將所有要訪問(wèn)PrivateZone服務(wù)的云連接網(wǎng)實(shí)例添加到授權(quán)策略中即可,如下圖所示。
資源 | 所屬賬號(hào)ID |
轉(zhuǎn)發(fā)路由器實(shí)例 | 253460731706911258 |
專有網(wǎng)絡(luò)實(shí)例 | 283117732402483989 |
云連接網(wǎng)實(shí)例一 | 271598332402530847 |
云連接網(wǎng)實(shí)例二 | 244831332402557259 |
云連接網(wǎng)實(shí)例三 | 287683832402436789 |
