Konfigurasikan otorisasi dorong cross-account untuk topik ApsaraMQ for MNS agar memungkinkan pengiriman pesan lintas akun Alibaba Cloud.
Prasyarat
Anda harus memiliki dua Akun Alibaba Cloud: Akun A dan Akun B.
-
Akun Alibaba Cloud A: ID akunnya adalah
testAccountID. -
Akun Alibaba Cloud B: ID akunnya adalah
testAccountID1.
Contoh ini menggunakan Akun A untuk mendorong pesan ke Akun B.
Langkah 1: Buat RAM role untuk Akun B
-
Buat Resource Access Management (RAM) role yang dapat diasumsikan oleh Akun A.
-
Masuk ke RAM console dengan Akun Alibaba Cloud B atau pengguna RAM yang memiliki izin administratif.
-
Di panel navigasi kiri, pilih .
-
Di halaman Roles, klik Create Role.
-
Di halaman Create Role, atur Principal Type menjadi Cloud Service, pilih layanan Alibaba Cloud, lalu klik OK.
-
Di kotak dialog Create Role, masukkan role name, lalu klik OK.
-
-
Ubah kebijakan kepercayaan (trust policy) dari RAM role tersebut.
-
Di tab Trust Policy, klik Edit Trust Policy.
-
Ubah kebijakan kepercayaan di editor, lalu klik OK.
CatatanGanti
"Service": "mns.aliyuncs.com"menjadi"Service": "testAccountID@mns.aliyuncs.com". GantitestAccountIDdengan ID Akun Alibaba Cloud A.
-
Langkah 2: Berikan izin cross-account kepada RAM role
Dorong ke antrian ApsaraMQ for MNS
-
Masuk ke RAM console dengan Akun Alibaba Cloud B atau pengguna RAM yang memiliki izin administratif.
-
Di panel navigasi kiri, pilih .
-
Di halaman Policies, klik Create Policy.
-
Di halaman Create Policy, klik tab Visual Editor.
-
Konfigurasikan kebijakan izin, lalu klik OK.
-
Untuk Effect, pilih Allow.
-
Untuk Service, pilih ApsaraMQ for MNS.
-
Untuk Action, pilih Select action(s), lalu centang kotak mns:SendMessage di bagian Write.
-
Untuk Resource, pilih All resource(s) atau Specified resource(s).
-
-
Di kotak dialog Create Policy, masukkan nama Policy Name dan Description, lalu klik OK.
-
Di panel navigasi kiri, pilih .
-
Di halaman Roles, klik nama RAM role yang dibuat di Langkah 1.
-
Di tab Permissions, klik Precise Permission.
-
Di kotak dialog Precise Permission, konfigurasikan pengaturan berikut, lalu klik OK:
-
policy type: Pilih {type}.
-
Policy Name: Masukkan nama kebijakan kustom.
-
Dorong ke Function Compute
-
Masuk ke RAM console dengan Akun Alibaba Cloud B atau pengguna RAM yang memiliki izin administratif.
-
Di panel navigasi kiri, pilih .
-
Di halaman Roles, klik nama RAM role yang dibuat di Langkah 1.
-
Di tab Permissions, klik Add Permissions.
-
Di panel Add Permissions, konfigurasikan pengaturan berikut, lalu klik OK.
-
Resource Scope: Pilih Account.
-
Policies: Centang kotak AliyunFCInvocationAccess.
-
Dorong ke Message Queue for Apache Kafka
-
Masuk ke RAM console dengan Akun Alibaba Cloud B atau pengguna RAM yang memiliki izin administratif.
-
Di panel navigasi kiri, pilih .
-
Di halaman Policies, klik Create Policy.
-
Di halaman Create Policy, klik tab JSON Editor, ganti kontennya dengan kebijakan berikut, lalu klik OK.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "eventbridge:*EventStreaming", "Resource": "*" } ] } -
Di kotak dialog Create Policy, masukkan nama Policy Name dan Description, lalu klik OK.
-
Di panel navigasi kiri, pilih .
-
Di halaman Roles, klik nama RAM role yang dibuat di Langkah 1.
-
Di tab Permissions, klik Precise Permission.
-
Di kotak dialog Precise Permission, konfigurasikan pengaturan berikut, lalu klik OK:
-
policy type: Pilih {type}.
-
Policy Name: Masukkan nama kebijakan kustom.
-
Langkah 3: Dapatkan ARN dari RAM role
Saat Akun A membuat subscription cross-account, masukkan ARN RAM role di bidang Service-linked Role.
-
Masuk ke RAM console dengan Akun Alibaba Cloud B atau pengguna RAM yang memiliki izin administratif.
-
Di panel navigasi kiri, pilih .
-
Di halaman Roles, klik nama RAM role yang dibuat di Langkah 1.
-
Di bagian Basic Information, klik Copy di samping ARN.
Topik terkait
Panduan subscription cross-account untuk ApsaraMQ for MNS: