可信實體為阿里云賬號的RAM角色主要用于解決跨賬號訪問和臨時授權問題。該RAM角色允許可信的阿里云賬號下的RAM用戶扮演。本文為您介紹在進行解密播放之前如何設置RAM用戶角色權限。
前提條件
請先創建RAM用戶并授權訪問MPS服務。詳細操作,請參見創建RAM用戶并授權。
新建角色
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊創建角色。
在創建角色頁面,選擇可信實體類型為阿里云賬號,然后單擊下一步。
設置角色信息。
輸入角色名稱。
輸入備注。
選擇信任的云賬號。
當前云賬號:當您允許當前阿里云賬號下的所有RAM用戶扮演該RAM角色時,您可以選擇當前云賬號。
其他云賬號:當您允許其他阿里云賬號下的所有RAM用戶扮演該RAM角色時,您可以選擇其他云賬號,然后輸入其他阿里云賬號(主賬號)ID。該項主要針對跨阿里云賬號的資源授權訪問場景,相關教程,請參見跨阿里云賬號的資源授權。
您可以在安全設置頁面查看阿里云賬號(主賬號)ID。
重要如果您僅允許指定的RAM用戶扮演該RAM角色,而不是阿里云賬號(主賬號)下的所有RAM用戶,您可以采取以下兩種方式:
修改RAM角色的信任策略。具體操作,請參見示例一:修改RAM角色的可信實體為阿里云賬號。
修改RAM用戶的角色扮演權限策略。具體操作,請參見能否指定RAM用戶具體可以扮演哪個RAM角色?。
單擊完成。
為角色授權
設置角色的權限。
在角色頁簽下,找到您創建的角色,單擊操作列添加權限。
授權范圍選擇整個云賬號。
授權范圍
說明
整個云賬號
權限在當前阿里云賬號內生效。
指定資源組
權限在指定資源組內生效。
授權主體系統自動填入當前的RAM用戶,無需更改。
選擇權限選擇系統策略,在權限策略名稱列中單擊需要添加的權限策略名稱,添加后單擊確定。添加完權限策略后單擊完成。
說明如果您想要調整RAM用戶的STS權限(例如,修改、增加、刪除等),只需回到本步驟操作即可。
關聯RAM用戶和角色。
在RAM控制臺左側導航欄中,選擇。在權限策略頁簽下,單擊創建權限策略。
選擇腳本編輯。
將Resource字段,修改成您所獲取的ARN參數。Action參數根據您的實際需要設置。設置完成后,單擊下一步。
在基本信息界面名稱文本框中,輸入策略名稱,單擊確定,并完成驗證。
在左側導航欄,選擇。
找到您所設置的RAM用戶,單擊操作列的添加權限。
選擇權限選擇自定義權限,單擊需要添加的權限。完成后單擊確定,完成添加權限。