使用企業A的阿里云賬號(主賬號)創建RAM角色并為該角色授權,并將該角色賦予企業B,即可實現使用企業B的主賬號或其RAM用戶(子賬號)訪問企業A的阿里云資源的目的。
背景信息
假設企業A購買了多種云資源來開展業務,并需要授權企業B代為開展部分業務,則可以利用RAM角色來實現此目的。RAM角色是一種虛擬用戶,沒有確定的身份認證密鑰,需要被一個受信的實體用戶扮演才能正常使用。為了滿足企業A的需求,可以按照以下流程操作:
- 企業A創建RAM角色
- 企業A為該RAM角色添加權限
- 企業B創建RAM用戶
- 企業B為RAM用戶添加AliyunSTSAssumeRoleAccess權限
- 企業B的RAM用戶通過控制臺或API訪問企業A的資源
可以為RAM角色添加的AHAS權限策略為:
AliyunAHASFullAccess:AHAS的完整權限。
AliyunAHASReadOnlyAccess:AHAS的只讀權限。
步驟一:企業A創建RAM角色
首先需要使用企業A的阿里云賬號登錄RAM控制臺并創建RAM角色。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊創建角色。
在創建角色頁面,選擇可信實體類型為阿里云賬號,然后單擊下一步。
設置角色信息。
輸入角色名稱。
輸入備注。
選擇云賬號。這里選擇信任的云賬號為其他云賬號,并在文本框內輸入企業B的阿里云賬號ID。
當前云賬號:當您允許當前阿里云賬號下的所有RAM用戶扮演該RAM角色時,您可以選擇當前云賬號。
其他云賬號:當您允許其他阿里云賬號下的所有RAM用戶扮演該RAM角色時,您可以選擇其他云賬號,然后輸入其他阿里云賬號(主賬號)ID。該項主要針對跨阿里云賬號的資源授權訪問場景,相關教程,請參見跨阿里云賬號的資源授權。
您可以在安全設置頁面查看阿里云賬號(主賬號)ID。
重要如果您僅允許指定的RAM用戶扮演該RAM角色,而不是阿里云賬號(主賬號)下的所有RAM用戶,您可以采取以下兩種方式:
修改RAM角色的信任策略。具體操作,請參見示例一:修改RAM角色的可信實體為阿里云賬號。
修改RAM用戶的角色扮演權限策略。具體操作,請參見能否指定RAM用戶具體可以扮演哪個RAM角色?。
單擊完成。
單擊關閉。
步驟二:企業A為該RAM角色添加權限
新創建的角色沒有任何權限,因此企業A需要為該角色添加權限。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊目標RAM角色操作列的新增授權。
您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色批量授權。
在添加權限面板,為RAM角色添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
說明指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。
選擇授權主體。
授權主體即需要添加權限的RAM角色。系統會自動選擇當前的RAM角色。
選擇權限策略。這里選擇添加AliyunAHASFullAccess權限,即AHAS的完整權限。
單擊確認新增授權。
單擊關閉。
步驟三:企業B創建RAM用戶
接下來要使用企業B的阿里云賬號登錄RAM控制臺并創建RAM用戶。
操作步驟
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
在訪問方式區域,選擇訪問方式,然后設置對應參數。
為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。
控制臺訪問
如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數:
控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規則。更多信息,請參見設置RAM用戶密碼強度。
密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。
多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,主賬號還需要為RAM用戶綁定MFA設備或RAM用戶自行綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備。
OpenAPI調用訪問
如果RAM用戶代表應用程序,建議啟用OpenAPI調用訪問,使用訪問密鑰(AccessKey)訪問阿里云。啟用后,系統會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創建AccessKey。
重要RAM用戶的AccessKey Secret只在創建時顯示,不支持查看,請妥善保管。
單擊確定。
根據界面提示,完成安全驗證。
步驟四:企業B為RAM用戶添加權限
企業B必須為其阿里云賬號下的RAM用戶添加AliyunSTSAssumeRoleAccess權限,RAM用戶才能扮演企業A創建的RAM角色。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。系統會自動選擇當前的RAM用戶。
選擇權限策略,這里選擇AliyunSTSAssumeRoleAccess權限。。
單擊確認新增授權。
單擊關閉。
步驟五:使用RAM用戶登錄控制臺
完成上述操作后,企業B的RAM用戶即可按照以下步驟登錄控制臺訪問企業A的云資源。操作步驟如下:
RAM用戶登錄阿里云控制臺。
在RAM用戶名密碼登錄頁簽,輸入RAM用戶名,單擊下一步。
方式一:使用默認域名登錄。RAM用戶的登錄格式為
<UserName>@<AccountAlias>.onaliyun.com,例如:username@company-alias.onaliyun.com。方式二:使用賬號別名登錄。RAM用戶的登錄格式為
<UserName>@<AccountAlias>,例如:username@company-alias。方式三:如果創建了域別名,也可以使用域別名登錄。RAM用戶的登錄格式為
<UserName>@<DomainAlias>,例如:username@example.com。
(可選)如果您開啟了多因素認證(MFA),則需要輸入虛擬MFA設備生成的驗證碼,或通過U2F安全密鑰認證。
更多信息,請參見多因素認證(MFA)和為RAM用戶綁定MFA設備。
輸入RAM用戶的登錄密碼,然后單擊登錄。
在RAM用戶中心頁面上將鼠標指針移動到右上角頭像,并在浮層中單擊切換身份。
說明若您目前使用的是RAM用戶,請聯系阿里云賬號使用者為您添加相關權限。
在阿里云-角色切換頁面,輸入企業A的企業別名或默認域名,以及角色名,然后單擊切換。
對企業A的阿里云資源執行操作。