日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 企業級分布式應用服務 操作指南 應用平臺管理 權限管理 RAM權限管理 借助RAM角色實現跨云賬號訪問資源

借助RAM角色實現跨云賬號訪問資源

更新時間:
產品詳情
我的收藏

使用企業A的阿里云賬號(主賬號)創建RAM角色并為該角色授權,并將該角色賦予企業B,即可實現使用企業B的主賬號或其RAM用戶(子賬號)訪問企業A的阿里云資源的目的。

背景信息

假設企業A購買了多種云資源來開展業務,并需要授權企業B代為開展部分業務,則可以利用RAM角色來實現此目的。RAM角色是一種虛擬用戶,沒有確定的身份認證密鑰,需要被一個受信的實體用戶扮演才能正常使用。為了滿足企業A的需求,可以按照以下流程操作:

  1. 企業A創建RAM角色。

  2. 企業A為該RAM角色添加AliyunEDASFullAccess權限。

  3. 企業B創建RAM用戶。

  4. 企業B為RAM用戶添加AliyunSTSAssumeRoleAccess權限。

  5. 企業B的RAM用戶通過控制臺或API訪問企業A的資源。

可以為RAM角色添加的EDAS系統權限策略包括:AliyunEDASFullAccess,EDAS的完整權限。

說明

  • 被訪問的角色需要具有AliyunEDASFullAccess權限。

  • RAM子用戶只能扮演非自己主賬戶的角色,即子賬戶不能扮演子賬戶所在的主賬戶下的角色,只能扮演其它主賬戶下的擁有AliyunEDASFullAccess權限的角色。用戶在自己主賬戶角色的情況下將無法訪問EDAS,請退出角色登錄再訪問EDAS。

  • 子賬戶扮演具有AliyunEDASFullAccess權限的角色成功后,即擁有所扮演主賬號的所有EDAS權限。

步驟一:企業A創建RAM角色

首先需要使用企業A的阿里云賬號(主賬號)登錄RAM控制臺并創建RAM角色。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色

  3. 角色頁面,單擊創建角色

  4. 創建角色頁面,選擇可信實體類型為阿里云賬號,然后單擊下一步

  5. 配置角色頁簽的角色名稱文本框內輸入RAM角色名稱。

    說明

    RAM角色名稱中允許使用英文字母、數字和“-”,長度不超過64個字符。

  6. 配置角色頁簽的選擇云賬號區域中選擇其他云賬號,并在文本框內輸入企業B的云賬號。

  7. 單擊完成

  8. 單擊關閉

步驟二:企業A為該RAM角色添加權限

新創建的角色沒有任何權限,因此企業A必須為該角色添加權限。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色

  3. 角色頁面,單擊目標RAM角色操作列的新增授權

    您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色批量授權。

  4. 添加權限面板中,為RAM角色添加權限。

    1. 選擇授權應用范圍。

      • 整個云賬號:權限在當前阿里云賬號內生效。

      • 指定資源組:權限在指定的資源組內生效。

        說明

        指定資源組授權生效的前提是該云服務已支持資源組。更多信息,請參見支持資源組的云服務

    2. 輸入授權主體。

      授權主體即需要授權的RAM角色,系統會自動填入當前的RAM角色,您也可以添加其他RAM角色。

    3. 單擊權限策略將其添加至右側的已選擇列表中,然后單擊確定

      說明

      可添加的權限參見背景信息部分。

  5. 選擇權限區域中單擊自定義策略,通過關鍵字搜索需要添加的權限策略,并單擊權限策略將其添加至右側的已選擇列表中,然后單擊確定

  6. 添加權限的下一頁,查看授權信息摘要,并單擊完成

步驟三:企業B創建RAM用戶

接下來要使用企業B的阿里云賬號(主賬號)登錄RAM控制臺并創建RAM用戶。

  1. 使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 用戶

  3. 用戶頁面,單擊創建用戶

  4. 創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。

    • 登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。

    • 顯示名稱:最多包含128個字符或漢字。

    • 標簽:單擊edit,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。

    說明

    單擊添加用戶,可以批量創建多個RAM用戶。

  5. 訪問方式區域,選中控制臺訪問Open API 調用訪問,并單擊確定

    說明

    為提高安全性,請僅選中一種訪問方式。

    • 如果選中控制臺訪問,則完成進一步設置,包括自動生成默認密碼或自定義登錄密碼、登錄時是否要求重置密碼,以及是否開啟MFA(多因素認證)。

    • 如果選中Open API 調用訪問,則RAM會自動為RAM用戶創建AccessKey(API訪問密鑰)。

      重要

      出于安全考慮,RAM控制臺只在創建AccessKey時提供一次查看或下載AccessKeySecret的機會,因此請務必將AccessKeySecret記錄到安全的地方。

  6. 安全驗證對話框中單擊點擊獲取驗證碼,并輸入收到的手機驗證碼,然后單擊確定

    創建的RAM用戶顯示在用戶頁面上。

步驟四:企業B為RAM用戶添加權限

企業B必須為其主賬號下的RAM用戶添加AliyunSTSAssumeRoleAccess權限,RAM用戶才能扮演企業A創建的RAM角色。

  1. 使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺

  2. 用戶頁面,單擊目標RAM用戶操作列的添加權限

  3. 添加權限面板設置授權范圍,在選擇權限區域中通過關鍵字搜索AliyunSTSAssumeRoleAccess權限策略 ,并單擊該權限策略將其添加至右側的已選擇列表中,然后單擊確定

  4. 添加權限授權結果頁面上,查看授權信息摘要,并單擊完成

后續步驟

完成上述操作后,企業B的RAM用戶即可按照以下步驟登錄控制臺訪問企業A的云資源或調用API。

  • 登錄控制臺訪問企業A的云資源

    1. 在瀏覽器中打開RAM用戶登錄入口

    2. RAM用戶登錄頁面上,輸入RAM用戶登錄名稱,單擊下一步,并輸入RAM用戶密碼,然后單擊登錄

      說明

      RAM用戶登錄名稱的格式為 <子用戶名稱>@<默認域名>,或<子用戶名稱>@<企業別名>,例如username@company-alias.onaliyun.com或username@company-alias。

    3. 在控制臺頁面上,將光標移到右上角頭像,并在浮層中單擊切換身份

    4. 阿里云-角色切換頁面,輸入企業A的企業別名默認域名UID,以及角色名,然后單擊提交

    5. 對企業A的阿里云資源執行操作。

  • 使用企業B的RAM用戶通過API訪問企業A的云資源

    要使用企業B的RAM用戶通過API訪問企業A的云資源,必須在代碼中提供RAM用戶的AccessKey ID、AccessKey Secret和Security Token(臨時安全令牌)。