全部產品
Search

搜尋本產品

    ApsaraMQ for Kafka:RAM跨雲帳號授權

    文件中心

    ApsaraMQ for Kafka:RAM跨雲帳號授權

    更新時間:Aug 24, 2024

    藉助存取控制RAM的RAM角色,您可以跨雲帳號授權,使某個企業訪問另一個企業的雲訊息佇列 Kafka 版

    背景資訊

    企業A開通了雲訊息佇列 Kafka 版,該企業需要企業B代為操作雲訊息佇列 Kafka 版的資源,例如執行個體、Topic、Group。企業A的需求如下:

    • 企業A希望能專註於業務系統,僅作為雲訊息佇列 Kafka 版所有者。企業A希望可以授權企業B來操作部分業務,例如:雲訊息佇列 Kafka 版的營運、監控以及管理等。

    • 企業A希望當企業B的員工加入或離職時,無需做任何許可權變更。企業B可以進一步將企業A的資源存取權限分配給企業B的RAM使用者(員工或應用),並可以精細控制其員工或應用對資源的訪問和操作許可權。

    • 企業A希望如果雙方合約終止,企業A隨時可以撤銷企業B的授權。

    步驟一:企業A建立RAM角色

    使用企業A的阿里雲帳號登入RAM控制台為企業B的阿里雲帳號建立RAM角色。

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 角色

    3. 角色頁面,單擊建立角色

    4. 建立角色頁面,選擇可信實體類型為阿里雲帳號,然後單擊下一步

    5. 角色名稱文字框,輸入RAM角色名稱,在選擇信任的雲帳號地區,選擇其他雲帳號,輸入企業B的阿里雲帳號的帳號ID,然後單擊完成

      說明

      • RAM角色名稱允許英文字母、數字和短劃線(-),長度不超過64個字元。

      • 帳號ID可以在帳號管理控制台的安全設定頁面查看。

    步驟二:企業A為RAM角色添加許可權

    為RAM角色添加需要授予給企業B的訪問雲訊息佇列 Kafka 版的許可權。

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 角色

    3. 角色頁面,單擊目標RAM角色操作列的新增授權

      image

      您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色大量授權。

    4. 新增授權面板的權限原則地區,搜尋方塊中輸入需要添加的權限原則,單擊該許可權將其添加至右側的已選擇權限原則列表中,然後單擊確認新增授權

      說明

      支援授予的訪問雲訊息佇列 Kafka 版的權限原則請參見RAM權限原則

    步驟三:企業B建立RAM使用者

    使用企業B的阿里雲帳號登入RAM控制台並建立RAM使用者。

    操作步驟

    1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊建立使用者

    4. 建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。

      • 登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。

      • 顯示名稱:最多包含128個字元或漢字。

      • 標籤:單擊edit,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。

      說明

      單擊添加使用者,可以大量建立多個RAM使用者。

    5. 訪問方式地區,選擇訪問方式,然後設定對應參數。

      為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。

      • 控制台訪問

        如果RAM使用者代表人員,建議啟用控制台訪問,使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數:

        • 控制台登入密碼:選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼強度

        • 密碼重設策略:選擇RAM使用者在下次登入時是否需要重設密碼。

        • 多因素認證(MFA)策略:選擇是否為當前RAM使用者啟用MFA。啟用MFA後,主帳號還需要為RAM使用者綁定MFA裝置或RAM使用者自行綁定MFA裝置。更多資訊,請參見為RAM使用者綁定MFA裝置

      • OpenAPI調用訪問

        如果RAM使用者代表應用程式,建議啟用OpenAPI調用訪問,使用存取金鑰(AccessKey)訪問阿里雲。啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊,請參見建立AccessKey

        重要

        RAM使用者的AccessKey Secret只在建立時顯示,不支援查看,請妥善保管。

    6. 單擊確定

    7. 根據介面提示,完成安全驗證。

    步驟四:企業B為RAM使用者添加許可權

    為RAM使用者添加AliyunSTSAssumeRoleAccess的許可權。

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

      image

      您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。

    4. 新增授權面板的權限原則地區,搜尋方塊中輸入需要添加的權限原則,單擊該許可權將其添加至右側的已選擇權限原則列表中,然後單擊確認新增授權

    後續步驟

    企業B的RAM使用者可以通過以下方式訪問企業A的雲訊息佇列 Kafka 版

    • 控制台

      1. 在瀏覽器開啟RAM使用者登入入口

      2. RAM使用者登入頁面,輸入RAM使用者名稱稱,單擊下一步,輸入RAM使用者密碼,然後單擊登入

        說明

        RAM使用者登入名稱稱的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號的ID。

      3. 在RAM使用者的首頁,將滑鼠指標移到右上方頭像,在浮層單擊切換身份

      4. 角色切換頁面,輸入企業A的企業別名或預設網域名稱,以及角色名稱,然後單擊提交

        說明

        • 企業別名:使用企業A的阿里雲帳號在阿里雲帳號費用與成本頁面,將滑鼠指標移到右上方頭像,在浮層查看。

        • 預設網域名稱:使用企業A的阿里雲帳號在RAM控制台的設定頁面,單擊進階設定頁簽查看。

    • API

      1. 調用AssumeRole介面擷取AccessKey ID、AccessKey Secret和SecurityToken(臨時安全性權杖)。更多資訊,請參見AssumeRole

      2. 在代碼中使用擷取的AccessKey ID、AccessKey Secret和SecurityToken(臨時安全性權杖)調用API訪問雲訊息佇列 Kafka 版