日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 負載均衡 安全合規 使用阿里云訪問控制RAM 借助RAM角色實現跨云賬號訪問負載均衡資源

借助RAM角色實現跨云賬號訪問負載均衡資源

更新時間:
產品詳情
我的收藏

使用企業A的阿里云賬號創建RAM角色并為該角色授權,并允許企業B的RAM用戶扮演該角色,即可實現企業B的RAM用戶訪問企業A的阿里云負載均衡資源的目的。

背景信息

假設企業A購買了多種云資源來開展業務,并需要授權企業B代為開展部分業務,則可以利用RAM角色來實現此目的。RAM角色是一種虛擬用戶,沒有確定的身份認證密鑰,需要被一個受信的實體用戶扮演才能正常使用。為了滿足企業A的需求,可以按照以下流程操作:

  1. 企業A創建RAM角色。

  2. 企業A為該RAM角色添加權限。

  3. 企業B創建RAM用戶。

  4. 企業B為RAM用戶添加AliyunSTSAssumeRoleAccess權限。

  5. 企業B的RAM用戶通過控制臺或API訪問企業A的資源。

步驟一:企業A創建RAM角色

首先需要使用企業A的阿里云賬號登錄RAM控制臺并創建RAM角色。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色

  3. 角色頁面,單擊創建角色

  4. 創建角色頁面,選擇可信實體類型為阿里云賬號,然后單擊下一步

  5. 設置角色信息。

    1. 輸入角色名稱

    2. 輸入備注

    3. 選擇云賬號。本文選擇其他云賬號,并輸入企業B的阿里云賬號ID。

      • 當前云賬號:當您允許當前阿里云賬號下的所有RAM用戶扮演該RAM角色時,您可以選擇當前云賬號

      • 其他云賬號:當您允許其他阿里云賬號下的所有RAM用戶扮演該RAM角色時,您可以選擇其他云賬號,然后輸入其他阿里云賬號(主賬號)ID。該項主要針對跨阿里云賬號的資源授權訪問場景,相關教程,請參見跨阿里云賬號的資源授權

        您可以在安全設置頁面查看阿里云賬號(主賬號)ID。

      重要

      如果您僅允許指定的RAM用戶扮演該RAM角色,而不是阿里云賬號(主賬號)下的所有RAM用戶,您可以采取以下兩種方式:

  6. 單擊完成,然后單擊關閉

步驟二:企業A為該RAM角色添加權限

新創建的角色沒有任何權限,因此企業A必須為該角色添加權限。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色

  3. 角色頁面,找到步驟一創建的RAM角色,在操作列單擊新增授權

  4. 新增授權面板,為步驟一創建的RAM角色添加權限。

    1. 選擇資源范圍。

      • 賬號級別:權限在當前阿里云賬號內生效。

      • 資源組級別:權限在指定的資源組內生效。

        說明

        指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務

    2. 選擇授權主體。

      授權主體即需要添加權限的RAM角色。系統會自動選擇當前的RAM角色。

    3. 選擇權限策略。

      權限策略是一組訪問權限的集合。支持批量選中多條權限策略。

      • 系統策略:由阿里云創建,策略的版本更新由阿里云維護,用戶只能使用不能修改。更多信息,請參見支持RAM的云服務

        說明

        系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限策略。

      • 自定義策略:由用戶管理,策略的版本更新由用戶維護。用戶可以自主創建、更新和刪除自定義策略。更多信息,請參見創建自定義權限策略

    4. 單擊確認新增授權

  5. 單擊關閉

步驟三:企業B創建RAM用戶

接下來要使用企業B的阿里云賬號登錄RAM控制臺并創建RAM用戶。

  1. 使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 用戶

  3. 用戶頁面,單擊創建用戶

    image

  4. 創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。

    • 登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。

    • 顯示名稱:最多包含128個字符或漢字。

    • 標簽:單擊edit,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。

    說明

    單擊添加用戶,可以批量創建多個RAM用戶。

  5. 訪問方式區域,選擇訪問方式,然后設置對應參數。

    為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。

    • 控制臺訪問

      如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數:

      • 控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規則。更多信息,請參見設置RAM用戶密碼強度

      • 密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。

      • 多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,還需要綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備

    • 使用永久AccessKey訪問

      如果RAM用戶代表應用程序,您可以使用永久訪問密鑰(AccessKey)訪問阿里云。啟用后,系統會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創建AccessKey

      重要

      • RAM用戶的AccessKey Secret只在創建時顯示,不支持查看,請妥善保管。

      • 訪問密鑰(AccessKey)是一種長期有效的程序訪問憑證。AccessKey泄露會威脅該賬號下所有資源的安全。建議優先采用STS Token臨時憑證方案,降低憑證泄露的風險。更多信息,請參見使用訪問憑據訪問阿里云OpenAPI最佳實踐

  6. 單擊確定

  7. 根據界面提示,完成安全驗證。

步驟四:企業B為RAM用戶添加權限

企業B必須為其阿里云賬號下的RAM用戶添加AliyunSTSAssumeRoleAccess權限,RAM用戶才能扮演企業A創建的RAM角色。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 用戶

  3. 用戶頁面,找到步驟三創建的RAM用戶,在操作列單擊添加權限

  4. 新增授權面板,為RAM用戶添加權限。

    1. 選擇資源范圍。

      • 賬號級別:權限在當前阿里云賬號內生效。

      • 資源組級別:權限在指定的資源組內生效。

        說明

        指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務

    2. 輸入授權主體。選擇步驟三創建的RAM用戶。

    3. 選擇權限策略。本文選擇AliyunSTSAssumeRoleAccess

  5. 單擊確認新增授權,然后單擊關閉

后續步驟

完成上述操作后,企業B的RAM用戶即可按照以下步驟登錄控制臺或調用API訪問企業A的云資源。

登錄控制臺訪問企業A的云資源

  1. 使用企業B的RAM用戶登錄阿里云控制臺

    具體操作,請參見RAM用戶登錄阿里云控制臺

  2. RAM用戶登錄成功后,將鼠標懸停在右上角頭像的位置,單擊切換身份

    說明

    切換角色時需要輸入企業A的阿里云賬號別名和步驟一創建的RAM角色名稱。

    具體操作,請參見扮演RAM角色

  3. 登錄負載均衡控制臺即可訪問企業A的云資源。

使用企業B的RAM用戶通過API訪問企業A的云資源

要使用企業B的RAM用戶通過API訪問企業A的云資源,必須在代碼中提供RAM用戶的AccessKeyId、AccessKeySecret和SecurityToken(臨時安全令牌)。使用STS獲取臨時安全令牌的方法,請參見AssumeRole