借助RAM角色實現跨云賬號訪問資源
使用企業A的阿里云賬號(主賬號)創建RAM角色并為該角色授權,并將該角色賦予企業B,即可實現使用企業B的主賬號或其RAM用戶(子賬號)訪問企業A的阿里云資源的目的。
背景信息
假設企業A購買了多種云資源來開展業務,并需要授權企業B代為開展部分業務,則可以利用RAM角色來實現此目的。RAM角色是一種虛擬用戶,沒有確定的身份認證密鑰,需要被一個受信的實體用戶扮演才能正常使用。為了滿足企業A的需求,可以按照以下流程操作:
企業A創建RAM角色。
企業A為該RAM角色添加AliyunEDASFullAccess權限。
企業B創建RAM用戶。
企業B為RAM用戶添加AliyunSTSAssumeRoleAccess權限。
企業B的RAM用戶通過控制臺或API訪問企業A的資源。
可以為RAM角色添加的EDAS系統權限策略包括:AliyunEDASFullAccess,EDAS的完整權限。
被訪問的角色需要具有AliyunEDASFullAccess權限。
RAM子用戶只能扮演非自己主賬戶的角色,即子賬戶不能扮演子賬戶所在的主賬戶下的角色,只能扮演其它主賬戶下的擁有AliyunEDASFullAccess權限的角色。用戶在自己主賬戶角色的情況下將無法訪問EDAS,請退出角色登錄再訪問EDAS。
子賬戶扮演具有AliyunEDASFullAccess權限的角色成功后,即擁有所扮演主賬號的所有EDAS權限。
步驟一:企業A創建RAM角色
首先需要使用企業A的阿里云賬號(主賬號)登錄RAM控制臺并創建RAM角色。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊創建角色。
在創建角色頁面,選擇可信實體類型為阿里云賬號,然后單擊下一步。
在配置角色頁簽的角色名稱文本框內輸入RAM角色名稱。
說明RAM角色名稱中允許使用英文字母、數字和“-”,長度不超過64個字符。
在配置角色頁簽的選擇云賬號區域中選擇其他云賬號,并在文本框內輸入企業B的云賬號。
單擊完成。
單擊關閉。
步驟二:企業A為該RAM角色添加權限
新創建的角色沒有任何權限,因此企業A必須為該角色添加權限。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊目標RAM角色操作列的新增授權。
您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色批量授權。
在添加權限面板中,為RAM角色添加權限。
選擇授權應用范圍。
整個云賬號:權限在當前阿里云賬號內生效。
指定資源組:權限在指定的資源組內生效。
說明指定資源組授權生效的前提是該云服務已支持資源組。更多信息,請參見支持資源組的云服務。
輸入授權主體。
授權主體即需要授權的RAM角色,系統會自動填入當前的RAM角色,您也可以添加其他RAM角色。
單擊權限策略將其添加至右側的已選擇列表中,然后單擊確定。
說明可添加的權限參見背景信息部分。
在選擇權限區域中單擊自定義策略,通過關鍵字搜索需要添加的權限策略,并單擊權限策略將其添加至右側的已選擇列表中,然后單擊確定。
在添加權限的下一頁,查看授權信息摘要,并單擊完成。
步驟三:企業B創建RAM用戶
接下來要使用企業B的阿里云賬號(主賬號)登錄RAM控制臺并創建RAM用戶。
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
在訪問方式區域,選中控制臺訪問或Open API 調用訪問,并單擊確定。
說明為提高安全性,請僅選中一種訪問方式。
如果選中控制臺訪問,則完成進一步設置,包括自動生成默認密碼或自定義登錄密碼、登錄時是否要求重置密碼,以及是否開啟MFA(多因素認證)。
如果選中Open API 調用訪問,則RAM會自動為RAM用戶創建AccessKey(API訪問密鑰)。
重要出于安全考慮,RAM控制臺只在創建AccessKey時提供一次查看或下載AccessKeySecret的機會,因此請務必將AccessKeySecret記錄到安全的地方。
在安全驗證對話框中單擊點擊獲取驗證碼,并輸入收到的手機驗證碼,然后單擊確定。
創建的RAM用戶顯示在用戶頁面上。
步驟四:企業B為RAM用戶添加權限
企業B必須為其主賬號下的RAM用戶添加AliyunSTSAssumeRoleAccess權限,RAM用戶才能扮演企業A創建的RAM角色。
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
在添加權限面板設置授權范圍,在選擇權限區域中通過關鍵字搜索AliyunSTSAssumeRoleAccess權限策略 ,并單擊該權限策略將其添加至右側的已選擇列表中,然后單擊確定。
在添加權限的授權結果頁面上,查看授權信息摘要,并單擊完成。
后續步驟
完成上述操作后,企業B的RAM用戶即可按照以下步驟登錄控制臺訪問企業A的云資源或調用API。
登錄控制臺訪問企業A的云資源
在瀏覽器中打開RAM用戶登錄入口。
在RAM用戶登錄頁面上,輸入RAM用戶登錄名稱,單擊下一步,并輸入RAM用戶密碼,然后單擊登錄。
說明RAM用戶登錄名稱的格式為 <子用戶名稱>@<默認域名>,或<子用戶名稱>@<企業別名>,例如username@company-alias.onaliyun.com或username@company-alias。
在控制臺頁面上,將光標移到右上角頭像,并在浮層中單擊切換身份。
在阿里云-角色切換頁面,輸入企業A的企業別名或默認域名或UID,以及角色名,然后單擊提交。
對企業A的阿里云資源執行操作。
使用企業B的RAM用戶通過API訪問企業A的云資源
要使用企業B的RAM用戶通過API訪問企業A的云資源,必須在代碼中提供RAM用戶的AccessKey ID、AccessKey Secret和Security Token(臨時安全令牌)。