BREAKING NEWS
云监控现在已经全面支持跨云账号的资源管理模式啦!
不同于已有的子账号管理模式,跨账号的资源管理方式允许企业将云资源的权限赋予第三方服务机构,从而将云资源委托其管理。
下面一起来了解一下如何使用吧~
背景知识
因为跨账号的云资源管理,其实是通过阿里云的访问控制(RAM)来实现的,所以了解访问控制的功能和用法很有必要。本文不会详细介绍访问控制的细节,但是会对一些关键概念做简要阐述。
一句话解释
所谓跨云账号的资源管理,即允许云账号A将账号下的云资源,以角色X的形式,授权给第三方的云账号B,B账号通过其子账号切换身份扮演相应的角色X来实现跨账号的云资源管理。
授权模式如图:
如果你对上面这句颇为绕口的定义不是很理解的话,说明你还需要更加深入的了解“访问控制”~ 但是不要紧,即使完全不理解,跟着下面“#如何使用#”的章节一步一步做,也可以快速上手用起来!
一些概念
请参见访问控制的官方帮助文档链接,了解一下概念。
- 主账号
- 子账号
- 企业别名/云账号别名
- 角色/角色的扮演和切换
- 授权策略
应用场景
与子账号授权模式的区别
如果你有使用过子账号授权模式的资源管理,可能会有疑问,和本文介绍的跨账号的资源管理有什么区别呢?毕竟我同样可以把单独的子账号提供给第三方服务机构使用。
其实从能力上,两者是没有区别的,都可以实现对资源的授权和管理。更多是使用场景上的区别:
-
子账号授权模式
- 主要在企业内部使用,创建好相应的权限的角色后,需要自己创建子账号,授予对应权限,管理子账号的发放和回收。
-
跨账号的资源授权模式
- 主要在授权给第三方服务机构使用,创建好相应的权限的角色后,第三方机构即可自行创建子账号,通过切换授权身份来实现权限的管理,子账号的发放和管理有第三方机构自行维护,免去了很多麻烦。
如何使用
上面讲了一大通道里之后,下面来看看到底如何使用,通过第三方云账号来管理主账号下的阿里云云监控的资源。
1. 主账号创建授权给第三方的角色
首先云监控的权限分成两种:
- ReadOnly: 有只读权限,只可以查看所有的资源,一切变更操作均无法生效。
- FullAccess: 有读写权限,可以像主账号一样,管理所以的云监控的资源,比如添加/删除/启用禁用报警规则,创建联系人,创建分组,创建报警模板等。
本步骤之后,将创建一个供第三方云账号使用的角色。
1.1 创建角色
首先将鼠标移动到头像位置,在弹出的窗口中选择“访问控制”。
然后选择角色管理-> 新建角色; 角色类型选择“用户角色”。
注意在第二步要选择“其他云账号”,也就是你要授权给的第三方云账号。
1.2 授予云监控的对应权限
创建好角色之后,点击“授权”按钮,然后输入关键字“云监控”,筛选出云监控的授权策略,根据需要选择“ReadOnly”或者“FullAccess”策略。
1.3 记录下创建好的角色名称和企业别名
至此,角色创建完成,记录下刚刚创建的“角色”名称,和主账号的“企业别名”。
第三方云账号即可根据企业别名+角色来操作授权资源。
企业别名可以在 访问控制->设置里找到。
2. 第三方云账号通过子账号切换到授权角色身份
第三方云账号想要操作被授予的云监控资源,首先需要创建一个子账号,然后通过子账号切换身份到相应的角色,来操作对应资源。
2.1 创建子账号
创建子账号同样也是在“访问控制”中,如下图。
2.2 授予STS AssumeRole 权限
有了子账号,还需要对子账号授予“STSAssumeRoleAccess”的权限,子账号才能进行切换身份的操作。
2.3 登录子账号,切换身份,控制授权云监控资源
现在子账号准备完毕,重新通过子账号登录阿里云。子账号登录链接
将鼠标移动到右上角头像位置,点击“切换身份”
输入步骤#1.3中记录下来的企业别名和角色名。完成身份切换。
身份切换后,可以查看到当前的登录身份,即子账号信息,和所扮演的角色身份,即被授予的云账号的角色。点击返回登录身份可以返回子账号自身的角色。
身份切换完毕,现在跳转到云监控的控制台,看看是不是对应的资源已经变成被授予的云账号的云监控资源了~
如果你切换到的是“ReadOnly”的角色身份,你会发现,所有云监控相关的变更操作都会失败,说明角色权限已经生效了。
一些问题
- 报警服务下的“一键报警”暂时不支持这种授权模式,所以身份切换后看不到“一键报警”的入口。
- 部分云产品暂不支持此种授权模式,所以在身份切换后功能不可用。比如创建系统事件报警时,报警方式中“消息队列”和“函数计算”会变得不可用。
