雲串連網CCN(Cloud Connect Network)執行個體被串連到轉寄路由器執行個體後,雲串連網執行個體關聯的本網可以通過轉寄路由器執行個體訪問PrivateZone服務,在本網訪問PrivateZone服務前,您需要為雲串連網執行個體授權。本文介紹在不同情境下如何為雲串連網執行個體授權。
情境一:所有執行個體的帳號相同
如上圖所示,雲串連網執行個體、部署了PrivateZone服務的Virtual Private Cloud(Virtual Private Cloud)執行個體和轉寄路由器執行個體屬於同一個阿里雲帳號。在此情境下,您可以在雲企業網管理主控台直接對雲串連網執行個體授權。各個執行個體所屬帳號ID如下表所示。
資源 | 資源所屬帳號ID |
轉寄路由器執行個體 | 253460731706911258 |
專用網路執行個體 | 253460731706911258 |
雲串連網執行個體 | 253460731706911258 |
登入雲企業網管理主控台。
在云企业网实例頁面,找到目標雲企業網執行個體,單擊目標執行個體ID。
在頁簽,根據PrivateZone服務關聯的專用網路執行個體的地區,單擊該地區的轉寄路由器執行個體ID。
在轉寄路由器執行個體詳情頁面,單擊訪問 Private Zone頁簽,然後單擊點擊授權。在存取控制快速授權頁面,單擊確認授權。
說明只有在第一次設定訪問PrivateZone服務時需要對Smart Access Gateway進行授權。授權完成後,串連到轉寄路由器執行個體的雲串連網(Smart Access Gateway的組成部分)執行個體即被允許訪問PrivateZone服務。
授權後,系統會為當前帳號自動添加一個名稱為AliyunSmartAGAccessingPVTZRole的RAM角色。您可以在存取控制管理主控台的頁面,搜尋角色並查看角色資訊。
情境二:雲串連網執行個體的帳號不同
如上圖所示,轉寄路由器執行個體和部署了PrivateZone服務的專用網路執行個體屬於同一個阿里雲帳號,雲串連網執行個體屬於另一個阿里雲帳號。在此情境下,需要修改專用網路執行個體所屬帳號的授權策略。各個執行個體所屬帳號ID如下表所示。
資源 | 資源所屬帳號ID |
轉寄路由器執行個體 | 253460731706911258 |
專用網路執行個體 | 253460731706911258 |
雲串連網執行個體 | 271598332402530847 |
在專用網路執行個體所屬帳號中操作授權,允許同帳號的雲串連網執行個體訪問PrivateZone服務。
使用專用網路執行個體所屬帳號登入雲企業網管理主控台。
在雲企業網執行個體頁面,找到目標雲企業網執行個體,單擊目標執行個體ID。
在頁簽,根據PrivateZone服務關聯的專用網路執行個體的地區,單擊該地區的轉寄路由器執行個體ID。
在轉寄路由器執行個體詳情頁面,單擊訪問 Private Zone頁簽,然後單擊點擊授權。在雲資源訪問授權頁面,單擊同意授權。
說明只有在第一次設定訪問PrivateZone服務時需要對Smart Access Gateway進行授權。授權完成後,串連到轉寄路由器執行個體的雲串連網(Smart Access Gateway的組成部分)執行個體即被允許訪問PrivateZone服務。
修改專用網路執行個體所屬帳號下AliyunSmartAGAccessingPVTZRole角色的信任策略,允許跨帳號的雲串連網執行個體訪問PrivateZone服務。
使用專用網路執行個體所屬帳號登入存取控制管理主控台。
在左側導覽列,選擇。
在角色頁面的搜尋方塊內輸入AliyunSmartAGAccessingPVTZRole,搜尋該角色,然後單擊角色名稱。
在角色詳情頁面,單擊信任策略頁簽,然後單擊編輯信任策略。
在Service中添加一條記錄:
"雲串連網執行個體所屬阿里雲帳號ID@smartag.aliyuncs.com",然後單擊確定。
情境三:轉寄路由器執行個體的帳號不同
如上圖所示,雲串連網執行個體和部署了PrivateZone服務的專用網路執行個體屬於同一個阿里雲帳號,轉寄路由器執行個體屬於另一個阿里雲帳號。在此種情境下,需要在專用網路執行個體所屬的帳號中建立授權策略。各個執行個體所屬帳號ID如下表所示。
資源 | 所屬帳號ID |
轉寄路由器執行個體 | 271598332402530847 |
專用網路執行個體 | 253460731706911258 |
雲串連網執行個體 | 253460731706911258 |
使用專用網路執行個體所屬帳號登入存取控制管理主控台。
在左側導覽列,選擇。
在角色頁面,單擊建立角色。
在建立角色面板,根據以下資訊建立角色。
信任主體類型:選擇雲端服務。
信任主體名稱:選擇Smart Access Gateway。
單擊確定後,輸入角色名稱為
AliyunSmartAGAccessingPVTZRole,最後單擊確定。回到角色頁面。
在角色頁面,通過搜尋方塊搜尋建立的
AliyunSmartAGAccessingPVTZRole角色,然後單擊角色名稱。在許可權管理頁簽,單擊新增授權,進入新增授權面板。
在權限原則下的搜尋方塊中輸入pvtz關鍵字,勾選AliyunPvtzReadOnlyAccess策略,然後單擊確認新增授權。
在新增授權面板,單擊完成,回到角色詳情頁面。
在角色詳情頁面,單擊信任策略頁簽,查看授權資訊。
情境四:所有執行個體的帳號均不相同
如上圖所示,雲串連網執行個體、部署了PrivateZone服務的專用網路執行個體、轉寄路由器執行個體的帳號都不相同。在此情境下,需要完成兩個授權任務。 各個執行個體所屬帳號ID如下表所示。
資源 | 所屬帳號ID |
轉寄路由器執行個體 | 253460731706911258 |
專用網路執行個體 | 283117732402483989 |
雲串連網執行個體 | 271598332402530847 |
如果有多個雲串連網執行個體且雲串連網實所屬的阿里雲帳號都不相同,您只需要將所有要訪問PrivateZone服務的雲串連網執行個體添加到授權策略中即可,如下圖所示。
資源 | 所屬帳號ID |
轉寄路由器執行個體 | 253460731706911258 |
專用網路執行個體 | 283117732402483989 |
雲串連網執行個體一 | 271598332402530847 |
雲串連網執行個體二 | 244831332402557259 |
雲串連網執行個體三 | 287683832402436789 |
