使用企业 A 的阿里云账号(主账号)创建 RAM 角色并为该角色授权,并将该角色赋予企业 B,即可实现使用企业 B 的主账号或其 RAM 用户(子账号)访问企业 A 的阿里云资源的目的。
背景信息 假设企业 A 购买了多种云资源来开展业务,并需要授权企业 B 代为开展部分业务,则可以利用 RAM 角色来实现此目的。RAM 角色是一种虚拟用户,没有确定的身份认证密钥,需要被一个受信的实体用户扮演才能正常使用。为了满足企业 A 的需求,可以按照以下流程操作:
企业 A 创建 RAM 角色 企业 A 为该 RAM 角色添加权限 企业 B 创建 RAM 用户 企业 B 为 RAM 用户添加 AliyunSTSAssumeRoleAccess 权限 企业 B 的 RAM 用户通过控制台或 API 访问企业 A 的资源 可以为 RAM 角色添加的 Web+ 系统权限策略包括:
WebPlusFullAccess:Web+的完整权限。 WebPlusReadOnlyAccess:Web+的只读权限。 步骤一:企业 A 创建 RAM 角色 首先需要使用企业 A 的阿里云账号(主账号)登录 RAM 控制台并创建 RAM 角色。
登录 RAM 控制台,在左侧导航栏中单击 RAM 角色管理,并在 RAM 角色管理页面上单击新建 RAM 角色。 在新建 RAM 角色面板中执行以下操作并单击完成。 在选择可信实体类型区域中选择阿里云账号,并单击下一步。 在角色名称文本框内输入 RAM 角色名称。 说明 RAM 角色名称中允许使用英文字母、数字和“-”,长度不超过 64 个字符。 在选择云账号区域中选择其他云账号,并在文本框内输入企业 B 的云账号。 步骤二:企业 A 为该 RAM 角色添加权限 新创建的角色没有任何权限,因此企业 A 必须为该角色添加权限。
在 RAM 控制台左侧导航栏中单击 RAM 角色管理。 在 RAM 角色管理页面上单击目标角色操作列中的添加权限。 在添加权限面板的选择权限区域中,通过关键字搜索需要添加的权限策略,并单击权限策略将其添加至右侧的已选择列表中,然后单击确定。 说明 可添加的权限参见背景信息部分。 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。 步骤三:企业 B 创建 RAM 用户 接下来要使用企业 B 的阿里云账号(主账号)登录 RAM 控制台并创建 RAM 用户。
登录 RAM 控制台,在左侧导航栏中选择人员管理 > 用户,并在用户页面上单击新建用户。 在新建用户页面的用户账号信息区域中,输入登录名称和显示名称。 说明 登录名称中允许使用英文字母、数字、“.”、“_”和“-”,长度不超过 128 个字符。显示名称不可超过 24 个字符或汉字。 (可选)如需一次创建多个用户,则单击添加用户,并重复上一步。 在访问方式区域,选中控制台密码登录或编程访问,并单击确定。 说明 为提高安全性,请仅选中一种访问方式。 如果选中控制台密码登录,则完成进一步设置,包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码,以及是否开启 MFA(多因素认证)。 如果选中编程访问,则 RAM 会自动为 RAM 用户创建 AccessKey(API 访问密钥)。 注意 出于安全考虑,RAM 控制台只在创建 AccessKey 时提供一次查看或下载 AccessKeySecret 的机会,因此请务必将 AccessKeySecret 记录到安全的地方。 在手机验证对话框中单击获取验证码,并输入收到的手机验证码,然后单击确定。 创建的 RAM 用户显示在用户页面上。 步骤四:企业 B 为 RAM 用户添加权限 企业 B 必须为其主账号下的 RAM 用户添加 AliyunSTSAssumeRoleAccess 权限,RAM 用户才能扮演企业 A 创建的 RAM 角色。
在 RAM 控制台左侧导航栏中选择人员管理 > 用户。 在用户页面上找到需要授权的用户,单击操作列中的添加权限。 在添加权限面板的选择权限区域中,通过关键字搜索 AliyunSTSAssumeRoleAccess 权限策略 ,并单击该权限策略将其添加至右侧的已选择列表中,然后单击确定。 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。 后续步骤 完成上述操作后,企业 B 的 RAM 用户即可按照以下步骤登录控制台访问企业 A 的云资源或调用 API。
登录控制台访问企业 A 的云资源 在浏览器中打开 RAM 用户登录入口 https://signin.aliyun.com/login.htm。 在 RAM 用户登录页面上,输入 RAM 用户登录名称,单击下一步,并输入 RAM 用户密码,然后单击登录。 说明 RAM 用户登录名称的格式为 <子用户名称>@<默认域名>,或<子用户名称>@<企业别名>,例如 username@company-alias.onaliyun.com 或 username@company-alias。 在子用户用户中心页面上,将鼠标指针移到右上角头像,并在浮层中单击切换身份。 在阿里云-角色切换页面,输入企业 A 的企业别名或默认域名,以及角色名,然后单击切换。 对企业 A 的阿里云资源执行操作。 使用企业 B 的 RAM 用户通过 API 访问企业 A 的云资源 要使用企业 B 的 RAM 用户通过 API 访问企业 A 的云资源,必须在代码中提供 RAM 用户的 AccessKeyId、AccessKeySecret 和 SecurityToken(临时安全令牌)。使用 STS 获取临时安全令牌的方法参见STS 使用入门。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。