OSS資源預設僅允許資源所屬帳號訪問。通過RAM角色授權以及跨帳號角色扮演機制,可安全實現跨帳號訪問OSS資源,滿足企業內部門間協作或外部夥伴訪問的業務需求。
方案概覽
以阿里雲帳號A授權帳號B訪問為例,實現流程包括以下核心步驟:
帳號A建立信任主體為帳號B的RAM角色,並為該角色授予OSS存取權限。
帳號B為RAM使用者授予角色扮演許可權,該使用者通過扮演帳號A的RAM角色訪問指定OSS資源。
方案實現
步驟一:建立RAM角色並授權
帳號A需要建立信任主體為帳號B的RAM角色,並為該角色指派OSS資源存取權限。完成配置後,帳號B可通過扮演該角色安全訪問帳號A的OSS資源。
建立RAM角色
前往RAM角色列表,單擊建立角色。
選擇信任主體類型為雲帳號,信任主體名稱為其他云账号,輸入帳號B的ID,如
170593091407****。說明RAM角色建立後,預設允許帳號B的所有RAM使用者、RAM角色扮演該角色。如需限制僅特定RAM使用者或角色可扮演,需修改已建立RAM角色的信任策略。具體操作請參見修改RAM角色的可信實體為阿里雲帳號。
單擊确定,輸入角色名稱,然後單擊确定,完成角色建立。
為RAM角色授權
以下樣本使用OSS唯讀許可權系統策略進行授權。如需自訂權限原則,請參見授權自訂權限原則。
前往RAM角色列表,搜尋目標RAM角色名稱,在目標RAM角色的操作列單擊新增授權。
搜尋
AliyunOSSReadOnlyAccess權限原則,勾選權限原則後,單擊確認新增授權。
步驟二:扮演RAM角色實現跨帳號訪問
帳號B需要建立RAM使用者(可使用現有RAM使用者),並為該使用者授予角色扮演許可權。完成授權後,該使用者可通過扮演帳號A的RAM角色訪問相應OSS資源。
步驟三:驗證跨帳號訪問
完成許可權配置後,即可使用帳號B的RAM使用者訪問帳號A的OSS資源。以下通過控制台訪問方式進行驗證。