配置RAM用戶同步
您可以配置RAM用戶同步,在目標RD賬號中同步創(chuàng)建一個與云SSO用戶同名的RAM用戶,然后通過該RAM用戶訪問該RD賬號中的資源。
背景信息
本文將提供一個示例,通過配置RAM用戶同步,在RD成員(Sandbox Account)中創(chuàng)建一個與云SSO用戶(user1)同名的RAM用戶(user1@xxx.onaliyun.com),然后為RAM用戶(user1@xxx.onaliyun.com)授予云原生大數(shù)據(jù)計算服務(wù)MaxCompute的管理權(quán)限(AliyunMaxComputeFullAccess),實現(xiàn)通過RAM用戶(user1@xxx.onaliyun.com)身份訪問RD成員(Sandbox Account)中的云原生大數(shù)據(jù)計算服務(wù)MaxCompute。
步驟一:配置RAM用戶同步
使用RD管理賬號在云SSO中配置RAM用戶同步。
登錄云SSO控制臺。
在左側(cè)導(dǎo)航欄,單擊多賬號權(quán)限管理。
在多賬號權(quán)限管理頁面,選擇目標RD賬號。
本示例中,選擇RD成員(Sandbox Account)。
單擊配置RAM用戶同步。
在配置RAM用戶同步面板,選擇目標用戶或用戶組,然后單擊下一步。
本示例中,選擇云SSO用戶(user1)。
設(shè)置以下基本信息,然后單擊下一步。
輸入RAM用戶同步的描述。
在處理模式區(qū)域,選擇逐條處理或批量處理。
逐條處理:為多個RD賬號逐條配置沖突策略和刪除策略。
批量處理:為多個RD賬號統(tǒng)一配置沖突策略和刪除。
配置沖突策略和刪除策略。
沖突策略:當目標RD賬號內(nèi)存在同名RAM用戶時的處理策略。
替換:新創(chuàng)建的RAM用戶會覆蓋已存在的RAM用戶。
兩者都保留:新創(chuàng)建的RAM用戶會被系統(tǒng)重命名,新舊兩個RAM用戶會同時保留。
刪除策略:刪除RAM用戶同步時,對已同步的RAM用戶的處理策略。
保留:刪除RAM用戶同步時,會保留已同步的RAM用戶。
刪除:刪除RAM用戶同步時,會刪除已同步的RAM用戶。
單擊提交。
單擊完成。
配置成功后,會在目標RD賬號內(nèi)創(chuàng)建一個同名的RAM用戶。本示例中,將會在RD成員(Sandbox Account)中同步創(chuàng)建一個與云SSO用戶(user1)同名的RAM用戶(user1@xxx.onaliyun.com)。
步驟二:為RAM用戶授權(quán)
訪問RD成員(Sandbox Account),為RAM用戶(user1@xxx.onaliyun.com)授予云原生大數(shù)據(jù)計算服務(wù)MaxCompute的管理權(quán)限(AliyunMaxComputeFullAccess)。
訪問RD成員(Sandbox Account)。
具體操作,請參見成員登錄阿里云控制臺。
為RAM用戶(user1@xxx.onaliyun.com)授權(quán)。
本示例中,將授予RAM用戶(user1@xxx.onaliyun.com)云原生大數(shù)據(jù)計算服務(wù)MaxCompute的管理權(quán)限(AliyunMaxComputeFullAccess)。具體操作,請參見為RAM用戶授權(quán)。
除上述操作方法外,為了方便您的操作,推薦您將某個云SSO用戶設(shè)置為權(quán)限管理員,專門用來為目標RD賬號中同步的RAM用戶添加權(quán)限。您可以在云SSO創(chuàng)建訪問配置(包含AliyunRAMFullAccess權(quán)限),然后為權(quán)限管理員在多個目標RD成員賬號上部署該訪問配置,實現(xiàn)權(quán)限管理員可以為目標RD賬號中的RAM用戶授權(quán)。具體操作,請參見創(chuàng)建訪問配置和在RD賬號上授權(quán)。
步驟三:云SSO用戶訪問阿里云
云SSO用戶(user1)通過RAM用戶(user1@xxx.onaliyun.com)身份訪問RD成員(Sandbox Account)中的云原生大數(shù)據(jù)計算服務(wù)MaxCompute。
云SSO用戶(user1)登錄云SSO用戶門戶。
具體操作,請參見步驟一:獲取用戶門戶訪問地址和步驟二:登錄云SSO用戶門戶。
以RAM用戶身份訪問RD成員(Sandbox Account)中的云原生大數(shù)據(jù)計算服務(wù)MaxCompute。
具體操作,請參見步驟三:訪問RD賬號資源中的以RAM用戶登錄章節(jié)。