解決方案

企業A需要授權企業B的員工對ECS進行操作。假設企業A和企業B下分別有一個阿里云賬號A和阿里云賬號B。

• 企業A的阿里云賬號ID為123456789012****，賬號別名（企業別名）為company-a。
• 企業B的阿里云賬號ID為134567890123****，賬號別名（企業別名）為company-b。

1. 阿里云賬號A創建一個RAM角色，并為RAM角色授予合適的權限，允許阿里云賬號B使用該角色。

   具體操作，請參見跨阿里云賬號授權。

2. 如果阿里云賬號B下的某個員工（RAM用戶）需要使用該RAM角色，那么阿里云賬號B可以自主進行授權控制。阿里云賬號B下的RAM用戶將扮演RAM角色來操作阿里云賬號A的資源。

   具體操作，請參見跨阿里云賬號訪問資源。

3. 如果企業A與企業B的合作終止，企業A只需要撤銷阿里云賬號B對RAM角色的使用。此時阿里云賬號B下的所有RAM用戶對RAM角色的使用權限將被自動撤銷。

   具體操作，請參見撤銷跨阿里云賬號授權 。

跨阿里云賬號授權

1. 阿里云賬號A創建可信實體為阿里云賬號的RAM角色ecs-admin。
   說明 創建RAM角色時選擇其他云賬號134567890123****作為受信云賬號，即允許阿里云賬號B下的RAM用戶來扮演該RAM角色。

   具體操作，請參見創建可信實體為阿里云賬號的RAM角色。

   RAM角色創建成功后，在角色基本信息頁面中可以查看到該RAM角色的ARN和信任策略。

   • RAM角色的ARN為acs:ram::123456789012****:role/ecs-admin。
   • RAM角色的信任策略如下：
     說明 以下策略表示允許阿里云賬號B下的RAM用戶來扮演該RAM角色。

     {
     "Statement": [
     {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::134567890123****:root"
        ]
      }
     }
     ],
     "Version": "1"
     }

2. 阿里云賬號A為RAM角色ecs-admin添加AliyunECSFullAccess權限。

   具體操作，請參見為RAM角色授權。

3. 阿里云賬號B為其員工創建RAM用戶Alice。

   具體操作，請參見創建RAM用戶。

4. 阿里云賬號B為創建好的RAM用戶設置登錄密碼123456****并添加AliyunSTSAssumeRoleAccess權限，即允許RAM用戶扮演RAM角色。

   具體操作，請參見為RAM用戶授權。

跨阿里云賬號訪問資源

對阿里云賬號B的RAM用戶Alice進行授權后，RAM用戶通過切換角色便可以訪問阿里云賬號A下的ECS資源。

1. 阿里云賬號B的RAM用戶登錄RAM控制臺。
   說明 RAM用戶登錄時需要輸入賬號別名company-b、RAM用戶名稱Alice和RAM用戶密碼123456****。

   具體操作，請參見RAM用戶登錄控制臺。

2. RAM用戶登錄成功后，將鼠標懸停在右上角頭像的位置，單擊切換身份。
   說明 切換角色時需要輸入賬號別名company-a和RAM角色名稱ecs-admin。

   具體操作，請參見使用RAM角色。

撤銷跨阿里云賬號授權

阿里云賬號A可以撤銷阿里云賬號B對RAM角色ecs-admin的使用。

1. 阿里云賬號A登錄RAM控制臺。
2. 在左側導航欄，選擇身份管理 > 角色。
3. 單擊RAM角色名稱ecs-admin。
4. 在信任策略管理頁簽下，單擊修改信任策略，刪除整行策略內容"acs:ram::134567890123****:root"。
   說明 阿里云賬號A也可以通過刪除RAM角色ecs-admin來撤銷阿里云賬號B的權限。但在刪除RAM角色前，請先為RAM角色移除權限。具體操作，請參見為RAM角色移除權限。