使用企業(yè)A的阿里云賬號(主賬號)創(chuàng)建RAM角色并為該角色授權(quán),并將該角色賦予企業(yè)B,即可實現(xiàn)使用企業(yè)B的主賬號或其RAM用戶(子賬號)訪問企業(yè)A的阿里云資源的目的。

背景信息

企業(yè)A購買了事件總線EventBridge 服務(wù)來開展業(yè)務(wù),并希望將部分業(yè)務(wù)授權(quán)給企業(yè)B。

需求說明:

  • A希望能專注于業(yè)務(wù)系統(tǒng),僅作為資源Owner,而事件發(fā)布等任務(wù)委托或授權(quán)給企業(yè)B。
  • 企業(yè)A希望當(dāng)企業(yè)B的員工加入或離職時,無需做任何權(quán)限變更。企業(yè)B可以進一步將A的資源訪問權(quán)限分配給B的RAM用戶(員工或應(yīng)用),并可以精細(xì)控制其員工或應(yīng)用對資源的訪問和操作權(quán)限。
  • 企業(yè)A希望如果雙方合同終止,企業(yè)A隨時可以撤銷對企業(yè)B的授權(quán)。

操作步驟

  1. 首先需要使用企業(yè)A的阿里云賬號(主賬號)登錄RAM控制臺并為企業(yè)B的云賬號創(chuàng)建RAM角色。
  2. 可選:企業(yè)A為剛創(chuàng)建的RAM角色創(chuàng)建自定義策略。

    具體步驟參見創(chuàng)建自定義權(quán)限策略

    目前,事件總線EventBridge支持資源粒度的權(quán)限設(shè)置。詳情參見權(quán)限策略和示例

  3. 新創(chuàng)建的角色沒有任何權(quán)限,因此企業(yè)A必須為該角色添加權(quán)限。可添加系統(tǒng)權(quán)限策略或自定義權(quán)限策略。
    具體步驟參見為RAM角色授權(quán)
  4. 使用企業(yè)B的阿里云賬號(主賬號)登錄RAM控制臺并創(chuàng)建RAM用戶。
  5. 企業(yè)B為RAM用戶添加AliyunSTSAssumeRoleAccess權(quán)限。

    具體步驟參見為RAM用戶授權(quán)

    企業(yè)B必須為其主賬號下的RAM用戶添加AliyunSTSAssumeRoleAccess權(quán)限,RAM用戶才能扮演企業(yè)A創(chuàng)建的RAM角色。

  6. 企業(yè)B的RAM用戶通過控制臺或API訪問企業(yè)A的資源。
    具體步驟參見本文的后續(xù)步驟。

更多信息

什么是RAM

后續(xù)步驟

完成上述操作后,企業(yè)B的RAM用戶即可按照以下步驟登錄控制臺訪問企業(yè)A的云資源或調(diào)用API。

  • 登錄控制臺訪問企業(yè)A的云資源
    1. 在瀏覽器中打開RAM用戶登錄入口
    2. RAM用戶登錄頁面上,輸入RAM用戶登錄名稱,單擊下一步,并輸入RAM用戶密碼,然后單擊登錄
      說明 RAM用戶登錄名稱的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com<$AccountAlias>為賬號別名,如果沒有設(shè)置賬號別名,則默認(rèn)值為阿里云賬號(主賬號)的ID。
    3. 在阿里云控制臺頁面上,將鼠標(biāo)指針移到右上角頭像,并在浮層中單擊切換身份
    4. 阿里云-角色切換頁面,輸入企業(yè)A的企業(yè)別名默認(rèn)域名,以及角色名,然后單擊切換
    5. 對企業(yè)A的阿里云資源執(zhí)行操作。
  • 使用企業(yè)B的RAM用戶通過API訪問企業(yè)A的云資源

    要使用企業(yè)B的RAM用戶通過API訪問企業(yè)A的云資源,必須在代碼中提供RAM用戶的AccessKeyId、AccessKeySecret和SecurityToken(臨時安全令牌)。使用STS獲取臨時安全令牌的方法參見AssumeRole