日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 日志服務 安全合規 使用RAM進行訪問控制 基于身份的策略 使用RAM角色實現跨云賬號的資源訪問

使用RAM角色實現跨云賬號的資源訪問

更新時間:
產品詳情
我的收藏

如果您需要訪問其他云賬號的資源、或允許其他云賬號訪問您的資源,可以使用RAM角色實現,本文介紹創建和使用RAM角色的步驟。

方案概覽

RAM角色是一種虛擬用戶,可以被授予一組權限策略。與RAM用戶不同,RAM角色沒有永久身份憑證(登錄密碼或訪問密鑰),需要被一個可信實體扮演。扮演成功后,可信實體將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用該安全令牌就能以RAM角色身份訪問被授權的資源。

假設企業A需要授權企業B的RAM用戶訪問其日志服務,則可以利用RAM角色來實現此目的。操作流程如下所示:

  1. 企業A創建RAM角色。

  2. 企業A為該RAM角色添加權限。

  3. 企業B創建RAM用戶。

  4. 企業B為RAM用戶添加AliyunSTSAssumeRoleAccess權限。

  5. 企業B的RAM用戶獲取RAM角色的臨時安全令牌,從而實現對企業A的資源訪問。

步驟一:企業A創建RAM角色

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色

  3. 角色頁面,單擊創建角色

  4. 創建角色頁面,選擇可信實體類型為阿里云賬號,然后單擊下一步

  5. 配置角色配置向導中,配置如下內容,然后單擊完成

    參數

    說明

    角色名稱

    輸入角色名稱,例如aliyunlogreadrole

    備注

    輸入備注信息。

    選擇信任的云賬號

    選擇其他云賬號,輸入企業B的阿里云賬號(主賬號)賬號ID

  6. 單擊關閉

步驟二:企業A為RAM角色授權

說明

成功創建RAM角色后,該RAM角色沒有任何權限,您需要為該RAM角色授權。訪問控制提供如下兩種日志服務的系統策略,建議您遵循最小化原則,按需授予RAM角色必要的權限。

  • AliyunLogFullAccess:管理日志服務的權限。

  • AliyunLogReadOnlyAccess:只讀訪問日志服務的權限。

當系統策略無法滿足您的需求,您可以通過創建自定義策略實現精細化權限管理。具體操作,請參見創建自定義權限策略。權限策略示例請參見RAM自定義授權場景日志服務RAM授權策略

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色

  3. 角色頁面,單擊目標RAM角色操作列的新增授權

    image

    您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色批量授權。

  4. 新增授權面板,選中目標權限(如:AliyunLogReadOnlyAccess),單擊確認新增授權

  5. 單擊關閉

步驟三:企業B創建RAM用戶

  1. 使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 用戶

  3. 用戶頁面,單擊創建用戶

  4. 創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。

    • 登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。

    • 顯示名稱:最多包含128個字符或漢字。

    • 標簽:單擊edit,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。

    說明

    單擊添加用戶,可以批量創建多個RAM用戶。

  5. 訪問方式區域,選擇訪問方式,然后設置對應參數。

    為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。

    • 控制臺訪問

      如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數:

      • 控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規則。更多信息,請參見設置RAM用戶密碼強度

      • 密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。

      • 多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,主賬號還需要為RAM用戶綁定MFA設備或RAM用戶自行綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備

    • OpenAPI調用訪問

      如果RAM用戶代表應用程序,建議啟用OpenAPI調用訪問,使用訪問密鑰(AccessKey)訪問阿里云。啟用后,系統會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創建AccessKey

      重要

      RAM用戶的AccessKey Secret只在創建時顯示,不支持查看,請妥善保管。

  6. 單擊確定

  7. 根據界面提示,完成安全驗證。

步驟四:企業B為RAM用戶授權

企業B必須為其RAM用戶添加AliyunSTSAssumeRoleAccess權限,RAM用戶才能扮演企業A創建的RAM角色。

  1. 使用RAM管理員登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 用戶

  3. 用戶頁面,單擊目標RAM用戶操作列的添加權限

    image

    您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。

  4. 新增授權頁面,選中系統策略下的AliyunSTSAssumeRoleAccess,然后單擊確認新增授權

  5. 單擊關閉

步驟五:獲取RAM角色的臨時安全令牌

當企業B的RAM用戶被授予AliyunSTSAssumeRoleAccess權限后,通過調用STS的AssumeRole接口獲取臨時安全令牌(SecurityToken),從而扮演您在步驟一:企業A創建RAM角色中創建的RAM角色,進而實現對企業A的資源訪問。

說明

  • 關于AssumeRole API的調用方法,請參見Java示例

  • 使用STS SDK拿到AccessKey ID、AccessKey Secret、SecurityToken之后,通過使用日志服務的SDK訪問日志服務,請參見SDK參考概述