RAM跨雲帳號授權
藉助存取控制RAM的RAM角色,您可以跨雲帳號授權,使某個企業訪問另一個企業的雲訊息佇列 Kafka 版。
背景資訊
企業A開通了雲訊息佇列 Kafka 版,該企業需要企業B代為操作雲訊息佇列 Kafka 版的資源,例如執行個體、Topic、Group。企業A的需求如下:
企業A希望能專註於業務系統,僅作為雲訊息佇列 Kafka 版所有者。企業A希望可以授權企業B來操作部分業務,例如:雲訊息佇列 Kafka 版的營運、監控以及管理等。
企業A希望當企業B的員工加入或離職時,無需做任何許可權變更。企業B可以進一步將企業A的資源存取權限分配給企業B的RAM使用者(員工或應用),並可以精細控制其員工或應用對資源的訪問和操作許可權。
企業A希望如果雙方合約終止,企業A隨時可以撤銷企業B的授權。
步驟一:企業A建立RAM角色
使用企業A的阿里雲帳號登入RAM控制台為企業B的阿里雲帳號建立RAM角色。
-
使用Resource Access Management員登入RAM控制台。
-
在左側導覽列,選擇。
-
在角色頁面,單擊創建角色。

-
在創建角色頁面,選擇信任主體類型為雲帳號,然後設定具體的阿里雲帳號,最後單擊确定。

-
當前雲帳號:當您允許當前阿里雲帳號下的所有RAM使用者和RAM角色扮演當前正在建立的RAM角色時,您可以選擇當前雲帳號。
-
其他雲帳號:當您允許其他阿里雲帳號下的所有RAM使用者和RAM角色扮演當前正在建立的RAM角色時,您可以選擇其他雲帳號,然後輸入其他阿里雲帳號(主帳號)ID。該項主要針對跨阿里雲帳號的資源授權訪問情境,相關教程,請參見跨阿里雲帳號訪問資源。您可以在安全設定頁面查看阿里雲帳號(主帳號)ID。
-
在角色名称文字框,輸入RAM角色名稱,在选择信任的云账号地區,選擇其他云账号,輸入企業B的阿里雲帳號的帳號ID,然後單擊完成。
說明RAM角色名稱允許英文字母、數字和短劃線(-),長度不超過64個字元。
帳號ID可以在账号管理控制台的安全设置頁面查看。
步驟二:企業A為RAM角色添加許可權
為RAM角色添加需要授予給企業B的訪問雲訊息佇列 Kafka 版的許可權。
步驟三:企業B建立RAM使用者
使用企業B的阿里雲帳號登入RAM控制台並建立RAM使用者。
操作步驟
控制台
使用阿里雲帳號(主帳號)或擁有Resource Access Management員許可權(
AliyunRAMFullAccess)的RAM使用者登入RAM控制台。在左側導覽列,選擇。
在用户頁面,單擊创建用户。
在创建用户頁面的用户账号信息地區,設定使用者基本資料。
登录名称(必填):可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。
顯示名稱(選填):最多包含128個字元或漢字。
标签(選填):單擊
,然後輸入標籤鍵和標籤值,便於後續基於標籤的使用者管理。
說明單擊添加用户,可以大量建立多個RAM使用者。
在访问方式地區,根據使用者類型進行配置:
重要為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。
存取金鑰(AccessKey)是一種長期有效程式訪問憑證。AccessKey泄露會威脅該帳號下所有資源的安全。建議優先採用STS Token臨時憑證方案,降低憑證泄露的風險。更多資訊,請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。
給員工使用(控制台访问)
勾選控制台访问。
设置密码:您可以選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼策略。
需要重置密码:選擇RAM使用者在下次登入時是否需要重設密碼。
MFA 多因素认证:帳號預設設定為強制所有使用者登入時必須使用 MFA。如需修改,請參考管理RAM使用者安全設定。RAM使用者首次登入時需要綁定MFA裝置,請參考RAM使用者自行綁定MFA裝置。
給程式使用(使用永久AccessKey訪問)
勾選使用永久AccessKey訪問。
啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。
重要RAM使用者的AccessKey Secret只在建立時顯示,不支援後續查看,請務必立即下載或複製儲存AccessKey Secret。泄露AccessKey將嚴重威脅您帳號下所有資源的安全。更多資訊詳見建立AccessKey。
OpenAPI
建立控制台使用者
調用GetDefaultDomain擷取帳號的預設網域名稱,格式為
<AccountAlias>.onaliyun.com。調用CreateUser建立RAM使用者,其中必傳的參數建議如下:
UserPrincipalName:RAM 使用者的登入名稱稱。格式為<username>@<AccountAlias>.onaliyun.com,其中<username>為 RAM 使用者名稱稱,<AccountAlias>.onaliyun.com為預設網域名稱。DisplayName:RAM使用者的顯示名稱,可以與上面<username>不同。
調用CreateLoginProfile修改訪問方式和MFA要求等,其中部分參數的建議如下:
UserPrincipalName:上一步已建立的使用者資訊。Password:根據帳號的密碼強度要求配置。可以調用GetPasswordPolicy查詢當前帳號的RAM使用者密碼強度策略。MFABindRequired:建議設定強制要求RAM使用者開啟MFA,參數建議為true。Status:是否開啟控制台密碼登入,保持預設值Active
建立程式使用者
調用GetDefaultDomain擷取帳號的預設網域名稱,格式為
<AccountAlias>.onaliyun.com。調用CreateUser建立RAM使用者,其中必傳的參數建議如下:
UserPrincipalName:RAM 使用者的登入名稱稱。格式為<username>@<AccountAlias>.onaliyun.com,其中<username>為 RAM 使用者名稱稱,<AccountAlias>.onaliyun.com為預設網域名稱。DisplayName:RAM使用者的顯示名稱,可以與上面<username>不同。
調用CreateAccessKey建立存取金鑰(AccessKey),僅需傳入
UserPrincipalName,即上一步已建立的使用者資訊即可完成AccessKey建立。重要調用
CreateAccessKey介面的返回結果中會包含AccessKeyId和AccessKeySecret。AccessKeySecret僅在本次返回中提供,無法後續查詢,請務必立即儲存。泄露AccessKey將嚴重威脅您帳號下所有資源的安全。更多資訊詳見建立AccessKey。
步驟四:企業B為RAM使用者添加許可權
為RAM使用者添加AliyunSTSAssumeRoleAccess的許可權。
登入RAM控制台
在左側導覽列選擇。
在用户頁面,找到已經建立好的RAM使用者,單擊操作列的新增授權。
在新增授权面板的权限策略地區,搜尋方塊中輸入需要添加的權限原則,單擊該許可權將其添加至右側的已選擇權限原則列表中,然後單擊確認新增授權。
後續步驟
企業B的RAM使用者可以通過以下方式訪問企業A的雲訊息佇列 Kafka 版。
控制台
在瀏覽器開啟RAM使用者登入入口。
在RAM使用者登入頁面,輸入RAM使用者名稱稱,單擊下一步,輸入RAM使用者密碼,然後單擊登入。
說明RAM使用者登入名稱稱的格式為<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號的ID。
在RAM使用者的首頁,將滑鼠指標移到右上方頭像,在浮層單擊切換身份。
在角色切換頁面,輸入企業A的企業別名或預設網域名稱,以及角色名稱,然後單擊提交。
說明企業別名:使用企業A的阿里雲帳號在阿里雲帳號費用與成本頁面,將滑鼠指標移到右上方頭像,在浮層查看。
預設網域名稱:使用企業A的阿里雲帳號在RAM控制台的設置頁面,單擊高級設置頁簽查看。
API
調用AssumeRole介面擷取AccessKey ID、AccessKey Secret和SecurityToken(臨時安全性權杖)。更多資訊,請參見AssumeRole。
在代碼中使用擷取的AccessKey ID、AccessKey Secret和SecurityToken(臨時安全性權杖)調用API訪問雲訊息佇列 Kafka 版。