CreateRole - 建立角色 - Resource Access Management

介面說明

使用說明

關於 RAM 角色的介紹，請參見 RAM 角色概覽。

調試

您可以在OpenAPI Explorer中直接運行該介面，免去您計算簽名的困擾。運行成功後，OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊，可以在RAM權限原則語句的Action元素中使用，用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下：

操作：是指具體的許可權點。
存取層級：是指每個操作的存取層級，取值為寫入（Write）、讀取（Read）或列出（List）。
資源類型：是指操作中支援授權的資源類型。具體說明如下：
- 對於必選的資源類型，用前面加 * 表示。
- 對於不支援資源級授權的操作，用全部資源表示。
條件關鍵字：是指雲產品自身定義的條件關鍵字。
關聯操作：是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權，操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

ram:CreateRole

create

*Role

acs:ram:*:{#accountId}:role/{#RoleName}

ram:TrustedPrincipalTypes
ram:ServiceNames

無

請求參數

名稱	類型	必填	描述	樣本值
RoleName	string	否	RAM 角色名稱。長度為 1~64 個字元，可包含英文字母、數字、半形句號（.）和短劃線（-）。	ECSAdmin
Description	string	否	RAM 角色描述。長度為 1~1024 個字元。	ECS管理角色
AssumeRolePolicyDocument	string	否	信任策略。指定允許扮演該 RAM 角色的一個或多個主體，這個主體可以是阿里雲帳號、阿里雲服務或身份供應商。說明 RAM 使用者不能扮演可信實體為阿里雲服務的 RAM 角色。	{"Statement":[{"Action":"sts:AssumeRole","Effect":"Allow","Principal":{"RAM":"acs:ram::123456789012****:root"}}],"Version":"1"}
MaxSessionDuration	integer	否	RAM 角色最大會話時間。取值範圍：3600 秒~43200 秒。預設值：3600 秒。取值為空白時將採用預設值。	3600
Tag	array<object>	否	標籤。
	object	否	標籤。
Key	string	否	標籤鍵。	k1
Value	string	否	標籤值。	v1

AssumeRolePolicyDocument 樣本

以下策略表示：允許扮演該 RAM 角色的可信實體為阿里雲帳號（AccountID=123456789012****）下被授權的任何 RAM 使用者。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"RAM": [
				"acs:ram::123456789012****:root"
			]
		}
	}],
	"Version": "1"
}

以下策略表示：允許扮演該 RAM 角色的可信實體為阿里雲帳號（AccountID=123456789012****）下被授權的 RAM 使用者testuser。

說明

建立該角色前，請確保已建立 RAM 使用者testuser（其登入名稱稱為：testuser@123456789012****.onaliyun.com）。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"RAM": [
				"acs:ram::123456789012****:user/testuser"
			]
		}
	}],
	"Version": "1"
}

以下策略表示：允許扮演該 RAM 角色的可信實體為當前阿里雲帳號下的 ECS 服務。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Service": [
				"ecs.aliyuncs.com"
			]
		}
	}],
	"Version": "1"
}

以下策略表示：允許扮演該 RAM 角色的可信實體為當前阿里雲帳號（AccountID=123456789012****）下的 SAML 身份供應商testprovider。

說明

建立此角色前，請確保已建立 SAML 身份供應商testprovider。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Federated": [
				"acs:ram::123456789012****:saml-provider/testprovider"
			]
		},
		"Condition": {
			"StringEquals": {
				"saml:recipient": "https://signin.aliyun.com/saml-role/sso"
			}
		}
	}],
	"Version": "1"
}

以下策略表示：允許扮演該 RAM 角色的可信實體為當前阿里雲帳號（AccountID=123456789012****）下的 OIDC 身份供應商TestOIDCProvider。

說明

建立此角色前，請確保已建立 OIDC 身份供應商TestOIDCProvider。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Federated": [
				"acs:ram::123456789012****:oidc-provider/TestOIDCProvider"
			]
		},
		"Condition": {
			"StringEquals": {
				"oidc:aud": [
					"496271242565057****"
				],
				"oidc:iss": "https://dev-xxxxxx.okta.com",
				"oidc:sub": "KryrkIdjylZb7agUgCEf****"
			}
		}
	}],
	"Version": "1"
}

返回參數

名稱	類型	描述	樣本值
	object	返回結果。
Role	object	RAM 角色資訊。
AssumeRolePolicyDocument	string	RAM 角色的信任策略。	{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": "acs:ram::123456789012****:root" } } ], "Version": "1" }
Description	string	RAM 角色描述。	ECS管理角色
MaxSessionDuration	integer	RAM 角色最大會話時間。	3600
RoleName	string	RAM 角色名稱。	ECSAdmin
CreateDate	string	建立時間。	2015-01-23T12:33:18Z
RoleId	string	RAM 角色 ID。	901234567890****
Arn	string	RAM 角色的資源描述符。	acs:ram::123456789012****:role/ECSAdmin
RequestId	string	請求 ID。	04F0F334-1335-436C-A1D7-6C044FE73368

樣本

正常返回樣本

JSON格式

{
  "Role": {
    "AssumeRolePolicyDocument": "{ \"Statement\": [ { \"Action\": \"sts:AssumeRole\", \"Effect\": \"Allow\", \"Principal\": { \"RAM\": \"acs:ram::123456789012****:root\" } } ], \"Version\": \"1\" }",
    "Description": "ECS管理角色",
    "MaxSessionDuration": 3600,
    "RoleName": "ECSAdmin",
    "CreateDate": "2015-01-23T12:33:18Z",
    "RoleId": "901234567890****",
    "Arn": "acs:ram::123456789012****:role/ECSAdmin"
  },
  "RequestId": "04F0F334-1335-436C-A1D7-6C044FE73368"
}

異常返回樣本

JSON格式

{
    "RequestId": "04F0F334-1335-436C-A1D7-6C044FE73368",
    "Role": {
        "RoleId": "901234567890123",
        "RoleName": "ECSAdmin",
        "Arn": "acs:ram::1234567890123456:role/ECSAdmin",
        "Description": "ECS管理角色",
        "AssumeRolePolicyDocument": "{ \"Statement\": [ { \"Action\": \"sts:AssumeRole\", \"Effect\": \"Allow\", \"Principal\": { \"RAM\": \"acs:ram::123456789012345678:root\" } } ], \"Version\": \"1\" }",
        "CreateDate": "2015-01-23T12:33:18Z"
    }
}

錯誤碼

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊，參考變更詳情。