應(yīng)用場(chǎng)景

資源棧角色是一種可信實(shí)體為資源編排服務(wù)的RAM角色。如果您不希望資源編排服務(wù)以當(dāng)前用戶身份部署資源，而希望以具有特定權(quán)限的某個(gè)身份部署資源時(shí)，可以在操作資源棧時(shí)指定資源棧角色，從而以該資源棧角色身份部署資源。

當(dāng)某企業(yè)需要員工創(chuàng)建多個(gè)云產(chǎn)品資源，但又不希望該員工擁有太大的權(quán)限時(shí)，企業(yè)可以為員工提供具有創(chuàng)建對(duì)應(yīng)資源權(quán)限的資源棧角色，員工只需在創(chuàng)建資源棧時(shí)選擇資源棧角色，從而實(shí)現(xiàn)通過ROS創(chuàng)建多個(gè)資源。本文以阿里云賬號(hào)（主賬號(hào)）創(chuàng)建資源棧角色，RAM用戶（子賬號(hào)）使用資源棧角色創(chuàng)建VPC資源為例，為您進(jìn)行詳細(xì)介紹。

操作步驟

步驟一：創(chuàng)建資源棧角色

1. 使用阿里云賬號(hào)登錄RAM控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇身份管理 > 角色。

3. 在角色頁面，單擊創(chuàng)建角色。

4. 在創(chuàng)建角色頁面，選擇可信實(shí)體類型為阿里云服務(wù)，然后單擊下一步。

5. 選擇角色類型為普通服務(wù)角色。輸入角色名稱和備注。

6. 選擇受信服務(wù)為資源編排服務(wù)，然后單擊完成。

步驟二：獲取模板所需的權(quán)限策略

1. 定義創(chuàng)建VPC資源的模板。

   創(chuàng)建資源模板的更多信息，請(qǐng)參見查看資源類型。

   ROSTemplateFormatVersion: '2015-09-01'
   Resources:
     Vpc:
       Type: ALIYUN::ECS::VPC
       Properties:
         CidrBlock: 192.168.0.0/24
         VpcName: TestVpc

2. 獲取權(quán)限策略。

   1. 在OpenAPI門戶，訪問GenerateTemplatePolicy接口。

   2. 在TemplateBody參數(shù)中輸入VPC示例模板。

   3. 單擊調(diào)用，獲取創(chuàng)建VPC資源的權(quán)限策略。

      {
        "Policy": {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "quotas:ListProductQuotas"
              ],
              "Resource": "*",
              "Effect": "Allow"
            },
            {
              "Action": [
                "vpc:AssociateVpcCidrBlock",
                "vpc:CreateVpc",
                "vpc:DeleteVpc",
                "vpc:DescribeVpcs",
                "vpc:ModifyVpcAttribute",
                "vpc:TagResources",
                "vpc:UnTagResources"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        },
        "RequestId": "607A8E4E-4423-5D2D-8392-E74C5DC42EC5"
      }

步驟三：創(chuàng)建自定義權(quán)限策略

1. 使用阿里云賬號(hào)登錄RAM控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇權(quán)限管理 > 權(quán)限策略。

3. 在權(quán)限策略頁面，單擊創(chuàng)建權(quán)限策略。

4. 在創(chuàng)建權(quán)限策略頁面，單擊腳本編輯頁簽。

5. 輸入權(quán)限策略內(nèi)容，然后單擊確認(rèn)。

   策略內(nèi)容替換為步驟二：獲取模板所需的權(quán)限策略獲取的權(quán)限策略中的Policy部分代碼。

6. 輸入權(quán)限策略名稱和備注。

7. 單擊確定。

步驟四： 為資源棧角色授權(quán)

1. 在左側(cè)導(dǎo)航欄，選擇身份管理 > 角色。

2. 在角色頁面，單擊步驟一中創(chuàng)建的RAM角色操作列的精準(zhǔn)授權(quán)。

   精準(zhǔn)授權(quán)默認(rèn)的授權(quán)范圍為當(dāng)前阿里云賬號(hào)。

3. 在添加權(quán)限面板，選擇權(quán)限策略類型為自定義策略，然后輸入步驟三：創(chuàng)建自定義權(quán)限策略中創(chuàng)建的權(quán)限策略名稱。

   關(guān)于如何查看權(quán)限策略名稱，請(qǐng)參見查看權(quán)限策略基本信息。

4. 單擊確定。

步驟五：使用資源棧角色創(chuàng)建資源棧

前提條件

使用阿里云賬號(hào)（主賬號(hào)）創(chuàng)建一個(gè)RAM用戶（子賬號(hào)），并為RAM用戶授予ROS的管理權(quán)限（AliyunROSFullAccess）。具體操作，請(qǐng)參見創(chuàng)建RAM用戶和為RAM用戶授權(quán)。

操作步驟

1. 使用RAM用戶登錄資源編排控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，單擊資源棧。

3. 在頂部菜單欄的地域下拉列表，選擇資源棧的所在地域。

4. 在資源棧列表頁面，單擊創(chuàng)建資源棧，然后在下拉列表中選擇使用ROS。

5. 在選擇模板頁面，根據(jù)需要指定模板，然后單擊下一步。

   您可以輸入創(chuàng)建VPC資源的模板。關(guān)于指定模板的更多信息，請(qǐng)參見設(shè)置模板。

6. 在配置參數(shù)頁面，配置資源棧名稱和模板參數(shù)。

   說明

   根據(jù)模板的不同，您需要配置的模板參數(shù)將有所差異，請(qǐng)根據(jù)控制臺(tái)提示輸入?yún)?shù)信息。

7. 在配置資源棧區(qū)塊，輸入RAM角色為步驟一：創(chuàng)建資源棧角色中創(chuàng)建的角色名稱。

   關(guān)于其他參數(shù)的配置，請(qǐng)參見創(chuàng)建資源棧。

8. 在合規(guī)預(yù)檢頁面，完成合規(guī)檢測(cè)，然后單擊下一步。

   說明

   目前合規(guī)預(yù)檢功能僅支持為部分資源提供合規(guī)預(yù)檢功能。更多信息，請(qǐng)參見合規(guī)預(yù)檢。

   1. 在檢測(cè)規(guī)則區(qū)域，添加檢測(cè)規(guī)則。

      您可以根據(jù)ROS模板中的云資源選擇需要檢測(cè)的規(guī)則。

   2. 單擊開始檢測(cè)。

      如果資源檢驗(yàn)出不合規(guī)可單擊查看修正方案，根據(jù)修正方案修改云資源的配置或者ROS模板內(nèi)容，從而保證資源的合規(guī)性。

      

9. 在檢查并確認(rèn)頁面，單擊創(chuàng)建。

   資源棧創(chuàng)建成功后，狀態(tài)列顯示創(chuàng)建成功。