云连接网CCN(Cloud Connect Network)实例被连接到转发路由器实例后,云连接网实例关联的本地网络可以通过转发路由器实例访问PrivateZone服务,在本地网络访问PrivateZone服务前,您需要为云连接网实例授权。本文介绍在不同场景下如何为云连接网实例授权。
场景一:所有实例的账号相同
如上图所示,云连接网实例、部署了PrivateZone服务的专有网络VPC(Virtual Private Cloud)实例和转发路由器实例属于同一个阿里云账号。在此场景下,您可以在云企业网管理控制台直接对云连接网实例授权。各个实例所属账号ID如下表所示。
|
资源 |
资源所属账号ID |
|
转发路由器实例 |
253460731706911258 |
|
专有网络实例 |
253460731706911258 |
|
云连接网实例 |
253460731706911258 |
登录云企业网管理控制台。
在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
-
在页签,根据PrivateZone服务关联的专有网络实例的地域,单击该地域的转发路由器实例ID。
-
在转发路由器实例详情页面,单击访问Private Zone页签,然后单击点击授权。在访问控制快速授权页面,单击确认授权。
说明只有在第一次设置访问PrivateZone服务时需要对智能接入网关进行授权。授权完成后,连接到转发路由器实例的云连接网(智能接入网关的组成部分)实例即被允许访问PrivateZone服务。
授权后,系统会为当前账号自动添加一个名称为AliyunSmartAGAccessingPVTZRole的RAM角色。您可以在访问控制管理控制台的页面,搜索角色并查看角色信息。
场景二:云连接网实例的账号不同
如上图所示,转发路由器实例和部署了PrivateZone服务的专有网络实例属于同一个阿里云账号,云连接网实例属于另一个阿里云账号。在此场景下,需要修改专有网络实例所属账号的授权策略。各个实例所属账号ID如下表所示。
|
资源 |
资源所属账号ID |
|
转发路由器实例 |
253460731706911258 |
|
专有网络实例 |
253460731706911258 |
|
云连接网实例 |
271598332402530847 |
-
在专有网络实例所属账号中操作授权,允许同账号的云连接网实例访问PrivateZone服务。
-
使用专有网络实例所属账号登录云企业网管理控制台。
-
在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
-
在页签,根据PrivateZone服务关联的专有网络实例的地域,单击该地域的转发路由器实例ID。
-
在转发路由器实例详情页面,单击访问Private Zone页签,然后单击点击授权。在云资源访问授权页面,单击同意授权。
说明只有在第一次设置访问PrivateZone服务时需要对智能接入网关进行授权。授权完成后,连接到转发路由器实例的云连接网(智能接入网关的组成部分)实例即被允许访问PrivateZone服务。
-
-
修改专有网络实例所属账号下AliyunSmartAGAccessingPVTZRole角色的信任策略,允许跨账号的云连接网实例访问PrivateZone服务。
-
使用专有网络实例所属账号登录访问控制管理控制台。
-
在左侧导航栏,选择。
-
在角色页面的搜索框内输入AliyunSmartAGAccessingPVTZRole,搜索该角色,然后单击角色名称。
-
在角色详情页面,单击信任策略页签,然后单击编辑信任策略。
-
在Service中添加一条记录:
"云连接网实例所属阿里云账号ID@smartag.aliyuncs.com",然后单击确定。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "smartag.aliyuncs.com", "271598332402530847@smartag.aliyuncs.com" ] } } ], "Version": "1" }
-
场景三:转发路由器实例的账号不同
如上图所示,云连接网实例和部署了PrivateZone服务的专有网络实例属于同一个阿里云账号,转发路由器实例属于另一个阿里云账号。在此种场景下,需要在专有网络实例所属的账号中创建授权策略。各个实例所属账号ID如下表所示。
|
资源 |
所属账号ID |
|
转发路由器实例 |
271598332402530847 |
|
专有网络实例 |
253460731706911258 |
|
云连接网实例 |
253460731706911258 |
-
使用专有网络实例所属账号登录访问控制管理控制台。
-
在左侧导航栏,选择。
-
在角色页面,单击创建角色。
-
在创建角色面板,根据以下信息创建角色。
-
信任主体类型:选择云服务。
-
信任主体名称:选择智能接入网关。
-
单击确定后,输入角色名称为
AliyunSmartAGAccessingPVTZRole,最后单击确定。 -
回到角色页面。
-
-
在角色页面,通过搜索框搜索新建的
AliyunSmartAGAccessingPVTZRole角色,然后单击角色名称。 -
在权限管理页签,单击新增授权,进入新增授权面板。
-
在权限策略下的搜索框中输入pvtz关键字,勾选AliyunPvtzReadOnlyAccess策略,然后单击确认新增授权。
-
在新增授权面板,单击完成,回到角色详情页面。
-
在角色详情页面,单击信任策略页签,查看授权信息。
信任策略的 JSON 内容中,
Action为sts:AssumeRole,Effect为Allow,Principal.Service为smartag.aliyuncs.com,Version为1。
场景四:所有实例的账号均不相同
如上图所示,云连接网实例、部署了PrivateZone服务的专有网络实例、转发路由器实例的账号都不相同。在此场景下,需要完成两个授权任务。 各个实例所属账号ID如下表所示。
|
资源 |
所属账号ID |
|
转发路由器实例 |
253460731706911258 |
|
专有网络实例 |
283117732402483989 |
|
云连接网实例 |
271598332402530847 |
如果有多个云连接网实例且云连接网实所属的阿里云账号都不相同,您只需要将所有要访问PrivateZone服务的云连接网实例添加到授权策略中即可,如下所示。
|
资源 |
所属账号ID |
|
转发路由器实例 |
253460731706911258 |
|
专有网络实例 |
283117732402483989 |
|
云连接网实例一 |
271598332402530847 |
|
云连接网实例二 |
244831332402557259 |
|
云连接网实例三 |
287683832402436789 |
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"smartag.aliyuncs.com",
"271598332402530847@smartag.aliyuncs.com",
"244831332402557259@smartag.aliyuncs.com",
"287683832402436789@smartag.aliyuncs.com"
]
}
}
],
"Version": "1"
}