企業用戶通常通過常規登錄方式(即在阿里云控制臺輸入賬號、密碼)登錄阿里云,管理、使用云資源。隨著企業安全監管要求的日益嚴格,部分企業更愿意通過角色登錄(Role Base_SSO)的方式登錄阿里云。本文為您介紹使用角色SSO的方式登錄MaxCompute新版控制臺需要配置的角色授信策略。
背景信息
阿里云與企業進行角色SSO時,阿里云是服務提供商(SP),而企業自有的身份管理系統則是身份提供商(IdP)。通過角色SSO,企業可以在本地IdP中管理員工信息,無需進行阿里云和企業IdP間的用戶同步,企業員工將使用指定的RAM角色登錄阿里云,詳情請參見SAML角色SSO概覽。
配置角色授信策略
創建角色
通過RAM用戶來扮演RAM角色,創建角色請參見創建可信實體為阿里云賬號的RAM角色。
通過IdP身份提供商賬號來扮演RAM角色,創建角色請參見創建可信實體為身份提供商的RAM角色。
配置角色授信策略
使用阿里云賬號登錄RAM控制臺。
在左側導航欄,選擇身份管理 > 角色。
在角色頁面,單擊目標RAM角色名稱。
單擊信任策略頁簽,然后單擊編輯信任策略。
信任策略修改完成后,然后單擊保存信任策略。信任策略具體內容如下所示。
通過RAM用戶來扮演的角色。
如果需要通過RAM用戶來扮演RAM角色,該角色的信任策略如下。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::UID:root" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }說明請替換上述策略中的UID為阿里云賬號的UID。
通過IdP身份提供商賬號來扮演的角色,該角色的信任策略如下。
{ "Statement": [ { "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "saml:recipient": "https://signin.aliyun.com/saml-role/sso" } }, "Effect": "Allow", "Principal": { "Federated": [ "acs:ram::UID:saml-provider/IDP" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }說明請替換上述策略中的UID為阿里云賬號的UID,替換IDP為您選擇的身份提供商的名稱。
更多關于RAM角色信任策略的信息請參見修改RAM角色的信任策略。
文檔內容是否對您有幫助?