當一個企業希望將部分業務授權給另一個企業時,可以使用RAM角色進行跨阿里云賬號授權來管理資源的授權及訪問。
前提條件
使用阿里云賬號設置賬號別名(企業別名)。具體操作,請參見查看和修改默認域名 。
背景信息
企業A購買了多種阿里云資源來開展業務,例如:ECS實例、RDS實例、SLB實例和OSS存儲空間等。企業A希望將部分業務授權給企業B。
企業A有如下要求:
- 企業A希望能專注于業務系統,僅作為資源Owner。企業A希望可以授權賬號B來操作部分業務,例如:云資源運維、監控以及管理等。
- 企業A希望當企業B的員工加入或離職時,無需做任何權限變更。企業B可以進一步將企業A的資源訪問權限分配給企業B的RAM用戶(員工或應用),并可以精細控制其員工或應用對資源的訪問和操作權限。
- 企業A希望如果雙方合同終止,企業A隨時可以撤銷企業B的授權。
解決方案
企業A需要授權企業B的員工對ECS進行操作。假設企業A和企業B下分別有一個阿里云賬號A和阿里云賬號B。
- 企業A的阿里云賬號ID為
123456789012****
,賬號別名(企業別名)為company-a
。 - 企業B的阿里云賬號ID為
134567890123****
,賬號別名(企業別名)為company-b
。
- 阿里云賬號A創建一個RAM角色,并為RAM角色授予合適的權限,允許阿里云賬號B使用該角色。
具體操作,請參見跨阿里云賬號授權。
- 如果阿里云賬號B下的某個員工(RAM用戶)需要使用該RAM角色,那么阿里云賬號B可以自主進行授權控制。阿里云賬號B下的RAM用戶將扮演RAM角色來操作阿里云賬號A的資源。
具體操作,請參見跨阿里云賬號訪問資源。
- 如果企業A與企業B的合作終止,企業A只需要撤銷阿里云賬號B對RAM角色的使用。此時阿里云賬號B下的所有RAM用戶對RAM角色的使用權限將被自動撤銷。
具體操作,請參見撤銷跨阿里云賬號授權 。
跨阿里云賬號授權
跨阿里云賬號訪問資源
對阿里云賬號B的RAM用戶Alice
進行授權后,RAM用戶通過切換角色便可以訪問阿里云賬號A下的ECS資源。
撤銷跨阿里云賬號授權
阿里云賬號A可以撤銷阿里云賬號B對RAM角色ecs-admin
的使用。