Resource Orchestration Service： 使用資源棧角色

應用情境

資源棧角色是一種可信實體為Resource Orchestration Service服務的RAM角色。如果您不希望Resource Orchestration Service服務以目前使用者身份部署資源，而希望以具有特定許可權的某個身份部署資源時，可以在操作資源棧時指定資源棧角色，從而以該資源棧角色身份部署資源。

當某企業需要員工建立多個雲產品資源，但又不希望該員工擁有太大的許可權時，企業可以為員工提供具有建立對應資源許可權的資源棧角色，員工只需在建立資源棧時選擇資源棧角色，從而實現通過ROS建立多個資源。本文以阿里雲帳號（主帳號）建立資源棧角色，RAM使用者（子帳號）使用資源棧角色建立VPC資源為例，為您進行詳細介紹。

操作步驟

步驟一：建立資源棧角色

1. 使用阿里雲帳號登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 角色。

3. 在角色頁面，單擊创建角色。

4. 在创建角色頁面，選擇信任主體類型為雲端服務。

5. 選擇信任主體名稱為Resource Orchestration Service，單擊确定。

6. 在對話方塊中輸入角色名稱，單擊确定，完成建立。

步驟二：擷取模板所需的權限原則

1. 定義建立VPC資源的模板。

   建立資源模板的更多資訊，請參見查看資源類型。

   ROSTemplateFormatVersion: '2015-09-01'
   Resources:
     Vpc:
       Type: ALIYUN::ECS::VPC
       Properties:
         CidrBlock: 192.168.0.0/24
         VpcName: TestVpc

2. 擷取權限原則。

   1. 在OpenAPI門戶，訪問GenerateTemplatePolicy介面。

   2. 在TemplateBody參數中輸入VPC樣本模板。

   3. 單擊調用，擷取建立VPC資源的權限原則。

      {
        "Policy": {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "quotas:ListProductQuotas"
              ],
              "Resource": "*",
              "Effect": "Allow"
            },
            {
              "Action": [
                "vpc:AssociateVpcCidrBlock",
                "vpc:CreateVpc",
                "vpc:DeleteVpc",
                "vpc:DescribeVpcs",
                "vpc:ModifyVpcAttribute",
                "vpc:TagResources",
                "vpc:UnTagResources"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        },
        "RequestId": "607A8E4E-4423-5D2D-8392-E74C5DC42EC5"
      }

步驟三：建立自訂權限原則

1. 使用阿里雲帳號登入RAM控制台。

2. 在左側導覽列，選擇權限管理 > 權限策略。

3. 在權限策略頁面，單擊创建权限策略。

4. 在创建权限策略頁面，單擊指令碼編輯頁簽。

5. 輸入權限原則內容，然後單擊确定。

   策略內容替換為步驟二：擷取模板所需的權限原則擷取的權限原則中的Policy部分代碼。

6. 輸入權限原則名稱和備忘。

7. 單擊确定。

步驟四： 為資源棧角色授權

1. 在左側導覽列，選擇身份管理 > 角色。

2. 在角色頁面，單擊步驟一中建立的RAM角色操作列的精準授權。

   精準授權預設的授權範圍為當前阿里雲帳號。

3. 在添加权限面板，選擇權限原則類型為自定義策略，然後輸入步驟三：建立自訂權限原則中建立的权限策略名称。

   關於如何查看權限原則名稱，請參見查看權限原則資訊。

4. 單擊确定。

步驟五：使用資源棧角色建立資源棧

前提條件

使用阿里雲帳號（主帳號）建立一個RAM使用者（子帳號），並為RAM使用者授予ROS的系統管理權限（AliyunROSFullAccess）。具體操作，請參見建立RAM使用者和管理RAM使用者的許可權。

操作步驟

1. 使用RAM使用者登入Resource Orchestration Service控制台。

2. 在左側導覽列，單擊資源棧。

3. 在頂部功能表列的地區下拉式清單，選擇資源棧的所在地區。

4. 在資源棧列表頁面，單擊建立資源棧，在指定模板地區中單擊選擇已有模板。

   說明

   • 當選擇創建模板或架構編輯器時，會跳轉至對應頁面。

5. 在選擇模板頁面，根據需要指定模板，然後單擊下一步。

   您可以輸入建立VPC資源的模板。關於指定模板的更多資訊，請參見設定模板。

6. 在配置參數頁面，填寫資源棧名稱和配置模板參數。

   說明

   根據模板的不同，您需要配置的模板參數將有所差異，請根據控制台提示輸入參數資訊。

7. 在配置資源棧區塊，輸入RAM角色為步驟一：建立資源棧角色中建立的角色名稱。

   關於其他參數的配置，請參見建立資源棧。

8. 在合規預檢頁面，完成合規檢測，然後單擊下一步。

   說明

   目前合規預檢功能僅支援為部分資源提供合規預檢功能。更多資訊，請參見合規預檢。

   1. 在檢測規則地區，添加檢測規則。

      您可以根據ROS模板中的雲資源選擇需要檢測的規則。

   2. 單擊開始檢測。

      如果資源檢驗出不合規可單擊查看修正方案，根據修正方案修改雲資源的配置或者ROS模板內容，從而保證資源的合規性。

      

9. 在檢查並確認頁面，單擊建立。

   資源棧建立成功後，狀態列顯示{status, select,{status, select, ALL_STACKS {默認} CREATE_IN_PROGRESS {創建中} CREATE_COMPLETE {創建成功} CREATE_FAILED {創建失敗} DELETE_IN_PROGRESS {刪除中} DELETE_COMPLETE {刪除成功} DELETE_FAILED {刪除失敗} INIT_COMPLETE {初始化完成} CREATE_ROLLBACK_IN_PROGRESS {創建回滾中} ROLLBACK_IN_PROGRESS {回滾中} CREATE_ROLLBACK_COMPLETE {創建失敗(已回滾)} ROLLBACK_COMPLETE {更新失敗(已回滾)} CREATE_ROLLBACK_FAILED {創建回滾失敗} ROLLBACK_FAILED {回滾失敗} UPDATE_IN_PROGRESS {更新中} UPDATE_COMPLETE {更新成功} UPDATE_FAILED {更新失敗} UPDATE_COMPLETE_CLEANUP_IN_PROGRESS {更新清理中} CHECK_IN_PROGRESS {校驗中} CHECK_COMPLETE {校驗成功} CHECK_FAILED {校驗失敗} REVIEW_IN_PROGRESS {核對中} SIGNAL_COMPLETE {信號完成} IMPORT_IN_PROGRESS {導入中} IMPORT_FAILED {導入失敗} IMPORT_COMPLETE {導入成功} IMPORT_CREATE_IN_PROGRESS {導入創建資源棧中} IMPORT_CREATE_FAILED {導入創建資源棧失敗} IMPORT_CREATE_COMPLETE {導入創建資源棧成功} IMPORT_CREATE_ROLLBACK_IN_PROGRESS {導入創建資源棧回滾中} IMPORT_CREATE_ROLLBACK_FAILED {導入創建資源棧回滾失敗} IMPORT_CREATE_ROLLBACK_COMPLETE {導入創建失敗(已回滾)} IMPORT_UPDATE_IN_PROGRESS {導入更新資源棧中} IMPORT_UPDATE_FAILED {導入更新資源棧失敗} IMPORT_UPDATE_COMPLETE {導入更新資源棧成功} IMPORT_UPDATE_ROLLBACK_IN_PROGRESS {導入更新資源棧回滾中} IMPORT_UPDATE_ROLLBACK_FAILED {導入更新資源棧回滾失敗} IMPORT_UPDATE_ROLLBACK_COMPLETE {導入更新失敗(已回滾)} other {{status}} }。