本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
通過修改RAM角色的信任策略內容,可以修改RAM角色的可信實體。本文通過示例為您介紹如何修改RAM角色的可信實體為阿里云賬號、阿里云服務或身份提供商。
背景信息
創建RAM角色時,您可以直接選擇RAM角色的可信實體為阿里云賬號、阿里云服務或身份提供商。一般情況下,創建RAM角色后,您不需要主動修改RAM角色的可信實體。如果某些特殊場景下確有需要,您可以通過本文所述的幾種方式修改。
修改RAM角色信任策略中的可信實體,會變更可信對象,可能會影響業務正常運行。請務必在測試賬號充分測試,確保功能正常使用后,再應用到正式生產賬號。
操作步驟
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊目標RAM角色名稱。
在信任策略頁簽,單擊編輯信任策略。
修改信任策略內容,然后單擊保存信任策略。
示例一:修改RAM角色的可信實體為阿里云賬號
若Principal中有RAM字段,表示該RAM角色的可信實體為阿里云賬號,即可以被可信阿里云賬號下的RAM用戶、RAM角色扮演。
RAM角色可以被可信阿里云賬號下的所有RAM用戶、RAM角色扮演
以下述信任策略為例:該RAM角色可以被阿里云賬號(AccountID=123456789012****)下的所有RAM用戶、RAM角色扮演。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::123456789012****:root" ] } } ], "Version": "1" }RAM角色只能被可信阿里云賬號下的指定RAM用戶扮演
若您將
Principal中的內容更改如下,則表示該RAM角色可以被阿里云賬號(AccountID=123456789012****)下的RAM用戶testuser扮演。"Principal": { "RAM": [ "acs:ram::123456789012****:user/testuser" ] }說明修改此信任策略時,請確保已創建好對應RAM用戶
testuser。RAM角色只能被可信阿里云賬號下的指定RAM角色扮演
若您將
Principal中的內容更改如下,則表示該RAM角色可以被阿里云賬號(AccountID=123456789012****)下的RAM角色testrole扮演。"Principal": { "RAM": [ "acs:ram::123456789012****:role/testrole" ] }說明修改此信任策略時,請確保已創建好對應RAM角色
testrole。
示例二:修改RAM角色的可信實體為阿里云服務
若Principal中有Service字段,表示該RAM角色的可信實體為阿里云服務,即可以被可信阿里云服務扮演。
以下述信任策略為例:該RAM角色可以被當前阿里云賬號下的ECS服務扮演。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}
],
"Version": "1"
}服務關聯角色的信任策略由關聯的云服務定義,您不能修改服務關聯角色的信任策略。更多信息,請參見服務關聯角色。
示例三:修改RAM角色的可信實體為身份提供商
若Principal中有Federated字段,表示該RAM角色的可信實體為身份提供商,即可以被可信身份提供商下的用戶扮演。
以下述信任策略為例:該RAM角色可以被當前阿里云賬號(AccountID=123456789012****)中的身份提供商testprovider下的用戶扮演。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::123456789012****:saml-provider/testprovider"
]
},
"Condition":{
"StringEquals":{
"saml:recipient":"https://signin.aliyun.com/saml-role/sso"
}
}
}
],
"Version": "1"
}