阿里云的访问控制RAM产品可以实现资源的分配和授权,在一个特殊的业务背景下,资源也可以实现跨账号的授权使用.
背景:
1.A公司,作为甲方Party A,出资购买云资源,对云资源具有所有权,但不实际管理,需要乙方配合.
2.B公司,作为乙方Party B,要管理A公司的云资源,需要A公司授权云资源的使用,对云资源具有使用权
3.B公司的员工,作为实际操作人员,需要对具体实例进行管理.
以上这种情况,通过RAM是否可以实现呢?
答案是:yes
方法是:
1.使用RAM角色做跨账号授权
2.使用子账号资源授权
过程
1.准备两个测试主账号
PartyA账号:cloudtec*@aliyun.com UID:444
PartyB账号:middlegr@aliyun-test.com UID:10713766795707
2.在RAM控制台创建角色
3.选择其他云账号授信
4.成功创建角色
生成临时授权STS策略,用于扮演该角色.授权角色信息为:
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::1071376679570***:root"
]
}
}
],
"Version": "1"
}授权ECS管理权限
5.创建了扮演角色,再在Party B账号中创建子账号Buser(记得开启控制台登录)
6.授权Buser子账号AliyunSTSAssumeRoleAccess权限
7.Buser子账号登录,选择切换身份
输入对应的A账户信息
看到查询结果
结论
这样,Buser账号就具有了管理A账号实例的能力,
当Buser员工离职,B账号只需要关闭Buser账号即可.
当A公司需要更换B公司或对B公司的授权范围发生变更,只需要更新授权策略即可.
更详细的授权策略功能可见
https://help.aliyun.com/document_detail/28652.html
名词解释:
RAM角色(RAM-Role)
RAM角色是一种虚拟用户(或影子账号),它是RAM用户类型的一种。这种虚拟用户有确定的身份,也可以被赋予一组权限(Policy),但它没有确定的身份认证密钥(登录密码或AccessKey)。与普通RAM用户的差别主要在使用方法上,RAM角色需要被一个授信的实体用户扮演,扮演成功后实体用户将获得RAM角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。
