全部产品
Search

搜索本产品

    Resource Orchestration Service:Memberikan izin yang dikelola sendiri

    文档中心

    Resource Orchestration Service:Memberikan izin yang dikelola sendiri

    更新时间:Jun 26, 2025

    Sebelum membuat grup tumpukan dengan izin yang dikelola sendiri di Resource Orchestration Service (ROS), Anda harus membuat Peran RAM secara manual di akun administrator dan akun eksekusi serta menetapkan hubungan kepercayaan antara kedua akun tersebut. Setelah itu, Anda dapat menerapkan tumpukan dalam akun eksekusi.

    Informasi latar belakang

    Sebelum memberikan izin yang dikelola sendiri, buat Peran RAM untuk akun Alibaba Cloud sesuai tabel berikut dan berikan izin kepada peran-peran tersebut.

    Akun Alibaba Cloud

    Peran RAM

    Kebijakan

    Deskripsi Kebijakan

    Akun Administrator

    AliyunROSStackGroupAdministrationRole

    Kebijakan Kustom: AssumeRole-AliyunROSStackGroupExecutionRole

    Mengizinkan Peran RAM AliyunROSStackGroupAdministrationRole untuk mengasumsikan Peran RAM AliyunROSStackGroupExecutionRole.

    Akun Eksekusi

    AliyunROSStackGroupExecutionRole

    Kebijakan Sistem: AdministratorAccess

    Mengizinkan Peran RAM AliyunROSStackGroupExecutionRole untuk mengelola semua sumber daya Alibaba Cloud yang dimiliki oleh akun eksekusi.

    Catatan

    Akun administrator dan akun eksekusi dapat berupa akun Alibaba Cloud yang sama. Untuk informasi lebih lanjut tentang akun administrator dan akun eksekusi, lihat Ikhtisar.

    Setelah memberikan izin kepada peran-peran tersebut menggunakan akun administrator untuk membuat grup tumpukan di konsol ROS, Anda dapat membuat instans tumpukan dalam grup tumpukan untuk menerapkan tumpukan di akun eksekusi.

    Metode 1: Memberikan izin yang dikelola sendiri di konsol RAM

    1. Berikan izin kepada akun eksekusi yang diinginkan.

      1. Masuk ke Konsol RAM menggunakan akun eksekusi.

      2. Buat Peran RAM AliyunROSStackGroupExecutionRole untuk akun eksekusi dan tentukan akun administrator sebagai entitas tepercaya dari peran tersebut.

        1. Di bilah navigasi sebelah kiri, pilih Identities > Roles.

        2. Di halaman Roles, klik Create Role.

        3. Di halaman Create Role, atur parameter Principal Type ke Cloud Account.

        4. Atur parameter Principal Name ke Other Account dan masukkan ID akun administrator di bidang tersebut.

        5. Klik OK. Di kotak dialog yang muncul, masukkan AliyunROSStackGroupExecutionRole di bidang Role Name.

        6. Klik OK, lalu tunggu hingga peran selesai dibuat.

      3. Lampirkan kebijakan AdministratorAccess ke Peran RAM AliyunROSStackGroupExecutionRole.

        1. Di halaman Roles, temukan Peran RAM AliyunROSStackGroupExecutionRole dan klik Grant Permission di kolom Aksi.

        2. Di panel Grant Permission, atur parameter Ruang Lingkup Sumber Daya ke Account. Nilai parameter Prinsipal Terpilih akan terisi otomatis.

        3. Di bagian Kebijakan, pilih System Policy dari daftar drop-down dan pilih AdministratorAccess.

        4. Klik Grant permissions.

    2. Berikan izin kepada akun administrator.

      1. Masuk ke Konsol RAM menggunakan akun administrator.

      2. Buat Peran RAM AliyunROSStackGroupAdministrationRole untuk akun administrator dan tentukan ROS sebagai entitas tepercaya dari peran tersebut.

        1. Di bilah navigasi sebelah kiri, pilih Identities > Roles.

        2. Di halaman Roles, klik Create Role.

        3. Di halaman Create Role, atur parameter Principal Type ke Cloud Service.

        4. Pilih Resource Orchestration Service dari daftar drop-down Principal Name dan klik OK.

        5. Di kotak dialog yang muncul, masukkan AliyunROSStackGroupAdministrationRole di bidang Role Name.

        6. Klik OK. Tunggu hingga peran dibuat.

      3. Buat kebijakan kustom AssumeRole-AliyunROSStackGroupExecutionRole.

        1. Di bilah navigasi sebelah kiri, pilih Permissions > Policies.

        2. Di halaman Policies, klik Create Policy.

        3. Di halaman Create Policy, klik tab JSON, masukkan konten kebijakan berikut di editor, lalu klik OK. Di kotak dialog Buat Kebijakan, masukkan AssumeRole-AliyunROSStackGroupExecutionRole di bidang Nama Kebijakan.

          Kebijakan ini mengizinkan Peran RAM AliyunROSStackGroupAdministrationRole untuk mengasumsikan Peran RAM AliyunROSStackGroupExecutionRole.

          {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "acs:ram::*:role/AliyunROSStackGroupExecutionRole"
    }
  ],
  "Version": "1"
}

        4. Klik OK. Tunggu hingga kebijakan dibuat.

      4. Lampirkan kebijakan AssumeRole-AliyunROSStackGroupExecutionRole ke Peran RAM AliyunROSStackGroupAdministrationRole.

        1. Di bilah navigasi sebelah kiri, pilih Identities > Roles.

        2. Di halaman Roles, temukan Peran RAM AliyunROSStackGroupAdministrationRole dan klik Grant Permission di kolom Actions.

        3. Di panel Grant Permission, atur parameter Resource Scope ke Account. Nilai parameter Prinsipal Terpilih akan terisi otomatis.

        4. Di bagian Kebijakan, pilih Custom Policy dari daftar drop-down dan pilih AssumeRole-AliyunROSStackGroupExecutionRole.

        5. Klik Grant permissions.

    Metode 2: Memberikan izin yang dikelola sendiri di konsol ROS

    Anda dapat menggunakan template ROS untuk membuat Peran RAM untuk akun administrator dan akun eksekusi serta memberikan izin pada grup tumpukan dan tumpukan kepada peran-peran tersebut.

    1. Masuk ke Konsol ROS menggunakan akun administrator. Kemudian, gunakan template AliyunROSStackGroupAdministrationRole untuk membuat Peran RAM dan memberikan izin yang diperlukan kepada peran tersebut.

      Contoh Template

      ROSTemplateFormatVersion: '2015-09-01'
Description: Konfigurasikan AliyunROSStackGroupAdministrationRole untuk mengaktifkan penggunaan Grup Tumpukan ROS Alibaba Cloud.
Parameters:
  AdministrationRoleName:
    Type: String
    Default: AliyunROSStackGroupAdministrationRole
    Description:
      en: Nama peran akun administrasi
       
  ExecutionRoleName:
    Type: String
    Default: AliyunROSStackGroupExecutionRole
    Description:
      en: Nama peran eksekusi akun target
       
Metadata:
  ALIYUN::ROS::Interface:
    ParameterGroups:
      - Parameters:
          - AdministrationRoleName
          - ExecutionRoleName
        Label:
          default:
            en: RAM
             
    TemplateTags:
      - acs:example:Security:Berikan izin kepada akun administrator grup tumpukan
Resources:
  AliyunROSStackGroupAdministrationRole:
    Type: ALIYUN::RAM::Role
    Properties:
      RoleName:
        Ref: AdministrationRoleName
      AssumeRolePolicyDocument:
        Version: 1
        Statement:
          - Action: sts:AssumeRole
            Effect: Allow
            Principal:
              Service:
                - ros.aliyuncs.com
      Policies:
        - PolicyName:
            Fn::Sub:
              - AssumeRole-${ExecutionRoleName}
              - ExecutionRoleName:
                  Ref: ExecutionRoleName
          PolicyDocument:
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - Fn::Sub: acs:ram::*:role/${ExecutionRoleName}
            Version: '1'
Outputs:
  AdministrationRoleName:
    Value:
      Fn::GetAtt:
        - AliyunROSStackGroupAdministrationRole
        - RoleName

    2. Masuk ke Konsol ROS menggunakan akun eksekusi. Kemudian, gunakan template AliyunROSStackGroupExecutionRole untuk membuat Peran RAM dan memberikan izin yang diperlukan kepada peran tersebut.

      Contoh Template

      ROSTemplateFormatVersion: '2015-09-01'
Description: Konfigurasikan AliyunROSStackGroupExecutionRole untuk mengaktifkan penggunaan akun Anda sebagai akun target di Grup Tumpukan ROS Alibaba Cloud.
Conditions:
  CurrentAccount:
    Fn::Equals:
      - Ref: AdministrationAccountId
      - ''
Parameters:
  ExecutionRoleName:
    Type: String
    Default: AliyunROSStackGroupExecutionRole
    Description:
      en: Nama peran eksekusi akun target
       
  AdministrationAccountId:
    Type: String
    Description:
       
      en: ID akun administrasi. Jika tidak, otorisasi akun saat ini
    Default: ''
Metadata:
  ALIYUN::ROS::Interface:
    ParameterGroups:
      - Parameters:
          - ExecutionRoleName
          - AdministrationAccountId
        Label:
          default: RAM
    TemplateTags:
      - acs:example:Security:Berikan izin kepada akun eksekusi grup tumpukan
Resources:
  AliyunROSStackGroupExecutionRole:
    Type: ALIYUN::RAM::Role
    Properties:
      RoleName:
        Ref: ExecutionRoleName
      AssumeRolePolicyDocument:
        Version: 1
        Statement:
          - Action: sts:AssumeRole
            Effect: Allow
            Principal:
              RAM:
                - Fn::Join:
                    - ''
                    - - 'acs:ram::'
                      - Fn::If:
                          - CurrentAccount
                          - Ref: ALIYUN::TenantId
                          - Ref: AdministrationAccountId
                      - ':root'
  AttachPolicy:
    Type: ALIYUN::RAM::AttachPolicyToRole
    Properties:
      PolicyName: AdministratorAccess
      PolicyType: System
      RoleName:
        Fn::GetAtt:
          - AliyunROSStackGroupExecutionRole
          - RoleName
Outputs:
  ExecutionRoleName:
    Value:
      Fn::GetAtt:
        - AliyunROSStackGroupExecutionRole
        - RoleName