Edit Kebijakan Kepercayaan dari Peran RAM - Resource Access Management

Anda dapat mengedit kebijakan kepercayaan yang dilampirkan pada peran Resource Access Management (RAM) untuk mengubah entitas tepercaya dari peran RAM. Topik ini menjelaskan cara mengubah entitas tepercaya dari peran RAM menjadi akun Alibaba Cloud, layanan Alibaba Cloud, atau penyedia identitas (IdP).

Informasi latar belakang

Saat membuat peran RAM, Anda dapat menentukan akun Alibaba Cloud, layanan Alibaba Cloud, atau IdP sebagai entitas tepercaya dari peran RAM. Dalam banyak kasus, Anda tidak perlu mengubah entitas tepercaya setelah membuat peran RAM. Namun, jika diperlukan, Anda dapat menggunakan salah satu metode yang dijelaskan dalam topik ini.

Peringatan

Mengubah entitas tepercaya dalam kebijakan kepercayaan dari peran RAM dapat memengaruhi beban kerja Anda. Sebelum melakukan perubahan, kami sarankan Anda melakukan pengujian menggunakan akun uji.

Prosedur

Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi sebelah kiri, pilih Identities > Roles.
Di halaman Roles, klik nama peran RAM yang telah dibuat.
Di tab Trust Policy, klik Edit Trust Policy.
Di editor kode, modifikasi isi kebijakan kepercayaan dan klik OK.

Contoh 1: Mengubah entitas tepercaya dari peran RAM menjadi akun Alibaba Cloud

Jika elemen Principal dalam suatu kebijakan mencakup bidang RAM, maka entitas tepercaya adalah Alibaba Cloud account. Peran RAM yang memiliki kebijakan tersebut dapat diasumsikan oleh pengguna RAM dan peran RAM berwenang dari akun Alibaba Cloud tepercaya.

Peran RAM dapat diasumsikan oleh semua pengguna RAM dan peran RAM dari akun Alibaba Cloud tepercaya.

Dalam kebijakan berikut, peran RAM dapat diasumsikan oleh semua pengguna RAM dan peran RAM dari akun Alibaba Cloud dengan ID 123456789012****.

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::123456789012****:root"
                ]
            }
        }
    ],
    "Version": "1"
}

Peran RAM hanya dapat diasumsikan oleh pengguna RAM tertentu dari akun Alibaba Cloud tepercaya.
Jika Anda mengonfigurasi ulang elemen Principal berdasarkan kode berikut, peran RAM hanya dapat diasumsikan oleh pengguna RAM bernama testuser dari akun Alibaba Cloud dengan ID 123456789012****.
```
            "Principal": {
                "RAM": [
                    "acs:ram::123456789012****:user/testuser"
                ]
            }                   
```
Catatan
Sebelum mengedit kebijakan kepercayaan, pastikan bahwa pengguna RAM bernama testuser telah dibuat.
Peran RAM hanya dapat diasumsikan oleh peran RAM tertentu dari akun Alibaba Cloud tepercaya.
Jika Anda mengonfigurasi ulang elemen Principal berdasarkan kode berikut, peran RAM hanya dapat diasumsikan oleh peran RAM bernama testrole dari akun Alibaba Cloud dengan ID 123456789012****.
```
            "Principal": {
                "RAM": [
                    "acs:ram::123456789012****:role/testrole"                
                ]
            }                                 
```
Catatan
Sebelum mengedit kebijakan kepercayaan, pastikan bahwa peran RAM bernama testrole telah dibuat.

Contoh 2: Mengubah entitas tepercaya dari peran RAM menjadi layanan Alibaba Cloud

Jika elemen Principal dalam suatu kebijakan mencakup bidang Service, maka entitas tepercaya adalah Alibaba Cloud service. Peran RAM yang memiliki kebijakan tersebut dapat diasumsikan oleh layanan Alibaba Cloud tepercaya dari akun Alibaba Cloud saat ini.

Dalam kebijakan berikut, peran RAM dapat diasumsikan oleh Elastic Compute Service (ECS) dari akun Alibaba Cloud saat ini.

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ecs.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

Catatan

Anda tidak dapat mengubah entitas tepercaya dari kebijakan yang dilampirkan pada peran terkait layanan karena kebijakan ini didefinisikan oleh layanan terkait. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.

Contoh 3: Mengubah entitas tepercaya dari peran RAM menjadi IdP

Jika elemen Principal mencakup bidang Federated, maka entitas tepercaya adalah IdP. Peran RAM dapat diasumsikan oleh semua pengguna dalam IdP.

Dalam kebijakan berikut, peran RAM dapat diasumsikan oleh semua pengguna dalam IdP bernama testprovider dari akun Alibaba Cloud dengan ID 123456789012****.

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Federated": [
                    "acs:ram::123456789012****:saml-provider/testprovider"
                ]
            },
            "Condition":{
                "StringEquals":{
                    "saml:recipient":"https://signin.alibabacloud.com/saml-role/sso"
                }
            }
        }
    ],
    "Version": "1"
}