為自訂網域名配置RAM權限原則 - Container Registry

若您需要Container RegistryACR能夠通過自訂網域名訪問和管理SSL認證，您可以通過為該帳號添加RAM角色，並為該RAM角色授權對阿里雲SSL認證操作許可權的方式，來實現安全的自訂網域名訪問。

步驟一：建立RAM角色

Container Registry訪問自訂網域名時，需要為阿里雲帳號建立名為AliyunContainerRegistryCustomizedDomainRole的角色。

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇身份管理 > 角色。
在角色頁面，單擊建立角色。
在建立角色頁面，選擇信任主體類型為雲帳號，然後設定具體的阿里雲帳號，最後單擊確定。
- 當前雲帳號：當您允許當前阿里雲帳號下的所有RAM使用者和RAM角色扮演當前正在建立的RAM角色時，您可以選擇當前雲帳號。
- 其他雲帳號：當您允許其他阿里雲帳號下的所有RAM使用者和RAM角色扮演當前正在建立的RAM角色時，您可以選擇其他雲帳號，然後輸入其他阿里雲帳號（主帳號）ID。該項主要針對跨阿里雲帳號的資源授權訪問情境，相關教程，請參見跨阿里雲帳號的資源授權。您可以在安全設定頁面查看阿里雲帳號（主帳號）ID。
設定角色名稱為AliyunContainerRegistryCustomizedDomainRole，輸入備忘，選擇信任的雲帳號為當前雲帳號。單擊確定。
說明
若選擇其他雲帳號，需要填寫其他雲帳號的ID。

步驟二：配置RAM角色的權限原則

配置RAM角色的權限原則，使其擁有對阿里雲SSL認證資源讀取的許可權。

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇身份管理 > 角色。
在角色頁面，單擊AliyunContainerRegistryCustomizedDomainRole操作列的新增授權。
在新增授權面板，選擇資源範圍為帳號層級，然後在權限原則搜尋方塊中搜尋AliyunYundunCertReadOnlyAccess，並對其勾選。
說明
在右側地區框，選擇某條策略並單擊×，可撤銷該策略。
單擊確認新增授權。
單擊關閉。

步驟三：配置RAM角色的信任策略

為該RAM角色的信任策略中添加Container Registry，使Container Registry可以訪問阿里雲SSL認證。

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇身份管理 > 角色。
在角色頁面，單擊角色名稱列下的AliyunContainerRegistryCustomizedDomainRole。
在信任策略頁簽，單擊編輯信任策略。

拷貝以下內容到文字框中，然後單擊確定。

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cr.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}