Resource Orchestration Service：Menggunakan peran stack

Skenario

Peran stack adalah peran Resource Access Management (RAM) yang mempercayai Resource Orchestration Service (ROS). Jika Anda ingin ROS menerapkan sumber daya menggunakan akun dengan izin tertentu alih-alih akun saat ini, Anda dapat menentukan peran stack saat mengelola stack. ROS kemudian akan mengasumsikan peran tersebut untuk menerapkan sumber daya.

Sebagai contoh, sebuah perusahaan mungkin ingin mengizinkan seorang karyawan membuat beberapa sumber daya cloud tanpa memberikan izin berlebihan kepada karyawan tersebut. Dalam kasus ini, perusahaan dapat menyediakan peran stack dengan izin yang diperlukan. Karyawan tersebut kemudian dapat memilih peran stack saat membuat stack untuk membuat sumber daya menggunakan ROS. Topik ini memberikan contoh di mana Akun Alibaba Cloud membuat peran stack, dan Pengguna RAM mengasumsikan peran tersebut untuk membuat sumber daya VPC.

Prosedur

Langkah 1: Membuat peran stack

1. Masuk ke Konsol Resource Access Management (RAM) menggunakan Akun Alibaba Cloud.

2. Pada panel navigasi di sebelah kiri, pilih Identity Management > Roles.

3. Pada halaman Roles, klik Create Role.

4. Pada halaman Create Role, atur Trusted Entity Type menjadi Alibaba Cloud Service.

5. Atur Trusted Service menjadi Resource Orchestration Service, lalu klik OK.

6. Pada kotak dialog, masukkan Role Name dan klik OK.

Langkah 2: Mendapatkan kebijakan yang dibutuhkan oleh templat

1. Definisikan templat untuk membuat sumber daya VPC.

   Untuk informasi selengkapnya, lihat View resource types.

   ROSTemplateFormatVersion: '2015-09-01'
   Resources:
     Vpc:
       Type: ALIYUN::ECS::VPC
       Properties:
         CidrBlock: 192.168.0.0/24
         VpcName: TestVpc

2. Dapatkan kebijakan akses.

   1. Di OpenAPI Explorer, buka operasi API GenerateTemplatePolicy.

   2. Untuk parameter TemplateBody, masukkan contoh templat VPC.

   3. Klik Invoke untuk mendapatkan kebijakan akses guna membuat sumber daya VPC.

      {
        "Policy": {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "quotas:ListProductQuotas"
              ],
              "Resource": "*",
              "Effect": "Allow"
            },
            {
              "Action": [
                "vpc:AssociateVpcCidrBlock",
                "vpc:CreateVpc",
                "vpc:DeleteVpc",
                "vpc:DescribeVpcs",
                "vpc:ModifyVpcAttribute",
                "vpc:TagResources",
                "vpc:UnTagResources"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        },
        "RequestId": "607A8E4E-4423-5D2D-8392-E74C5DC42EC5"
      }

Langkah 3: Membuat kebijakan izin kustom

1. Masuk ke Konsol Resource Access Management (RAM) menggunakan Akun Alibaba Cloud.

2. Pada panel navigasi di sebelah kiri, pilih Permissions > Policies.

3. Pada halaman Policies, klik Create Policy.

4. Pada halaman Create Policy, klik tab Script Editor.

5. Masukkan isi kebijakan, lalu klik OK.

   Ganti konten dengan bagian `Policy` dari kebijakan akses yang Anda peroleh di Langkah 2: Mendapatkan kebijakan yang dibutuhkan oleh templat.

6. Masukkan Name dan Note untuk kebijakan tersebut.

7. Klik OK.

Langkah 4: Memberikan izin kepada peran stack

1. Pada panel navigasi di sebelah kiri, pilih Identity Management > Roles.

2. Pada halaman Roles, temukan peran RAM yang Anda buat di Langkah 1: Membuat peran stack dan klik Grant Permission pada kolom Tindakan.

   Cakupan otorisasi default adalah Akun Alibaba Cloud saat ini.

3. Pada panel Add Permissions, atur jenis kebijakan izin menjadi Custom Policy. Lalu, masukkan Policy Name dari kebijakan yang Anda buat di Langkah 3: Membuat kebijakan kustom.

   Untuk informasi selengkapnya, lihat View policy information.

4. Klik OK.

Langkah 5: Menggunakan peran stack untuk membuat stack

Prasyarat

Buat Pengguna RAM menggunakan Akun Alibaba Cloud dan berikan izin `AliyunROSFullAccess` kepada Pengguna RAM tersebut. Izin ini memungkinkan Pengguna RAM untuk mengelola ROS. Untuk informasi selengkapnya, lihat Create a RAM user dan Grant permissions to a RAM user.

Prosedur

1. Masuk ke Konsol Resource Orchestration Service (ROS) sebagai Pengguna RAM.

2. Pada panel navigasi di sebelah kiri, klik Stacks.

3. Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat stack.

4. Pada halaman Stacks, klik Create Stack. Pada bagian Specify Template, klik Select an Existing Template.

   Catatan

   • Jika Anda memilih Create Template atau Infrastructure Composer, Anda akan diarahkan ke halaman yang sesuai.

5. Pada halaman Select Template, tentukan templat lalu klik Next.

   Sebagai contoh, Anda dapat memasukkan templat untuk membuat sumber daya VPC. Untuk informasi selengkapnya, lihat Configure a template.

6. Pada halaman Configure Parameters, masukkan Stack Name dan konfigurasikan Template Parameters.

   Catatan

   Parameter templat yang harus Anda konfigurasi bervariasi tergantung pada templatnya. Ikuti petunjuk di konsol untuk memasukkan nilai parameter.

7. Pada bagian Configure Stack, atur RAM Role menjadi nama peran yang Anda buat di Langkah 1: Membuat peran stack.

   Untuk informasi selengkapnya, lihat Create a stack.

8. Pada halaman Compliance Precheck, selesaikan pemeriksaan kepatuhan dan klik Next.

   Catatan

   Fitur pemeriksaan awal kepatuhan hanya didukung untuk beberapa sumber daya. Untuk informasi selengkapnya, lihat Compliance precheck.

   1. Pada bagian Detection Rules, tambahkan aturan deteksi.

      Anda dapat memilih aturan yang akan diperiksa berdasarkan sumber daya cloud dalam templat ROS.

   2. Klik Start Check.

      Jika suatu sumber daya terdeteksi sebagai Non-compliant, klik Remediation Plan. Ubah konfigurasi sumber daya cloud atau konten templat ROS berdasarkan Remediation Plan untuk memastikan kepatuhan sumber daya.

      

9. Pada halaman Check and Confirm, klik Create.

   Setelah stack dibuat, Create Succeeded akan muncul di kolom Status.