云连接网授权 - 云企业网

云连接网CCN（Cloud Connect Network）实例被连接到转发路由器实例后，云连接网实例关联的本地网络可以通过转发路由器实例访问PrivateZone服务，在本地网络访问PrivateZone服务前，您需要为云连接网实例授权。本文介绍在不同场景下如何为云连接网实例授权。

场景一：所有实例的账号相同

如上图所示，云连接网实例、部署了PrivateZone服务的专有网络VPC（Virtual Private Cloud）实例和转发路由器实例属于同一个阿里云账号。在此场景下，您可以在云企业网管理控制台直接对云连接网实例授权。各个实例所属账号ID如下表所示。

登录云企业网管理控制台。
在云企业网实例页面，找到目标云企业网实例，单击目标实例ID。
在基本信息 > 转发路由器页签，根据PrivateZone服务关联的专有网络实例的地域，单击该地域的转发路由器实例ID。
在转发路由器实例详情页面，单击Private Zone页签，然后单击点击授权。在云资源访问授权页面，单击同意授权。

说明只有在第一次设置访问PrivateZone服务时需要对智能接入网关进行授权。授权完成后，连接到转发路由器实例的云连接网（智能接入网关的组成部分）实例即被允许访问PrivateZone服务。

授权后，系统会为当前账号自动添加一个名称为AliyunSmartAGAccessingPVTZRole的RAM角色。您可以在访问控制管理控制台的身份管理 > 角色页面，搜索角色并查看角色信息。

如上图所示，转发路由器实例和部署了PrivateZone服务的专有网络实例属于同一个阿里云账号，云连接网实例属于另一个阿里云账号。在此场景下，需要修改专有网络实例所属账号的授权策略。各个实例所属账号ID如下表所示。

如上图所示，云连接网实例和部署了PrivateZone服务的专有网络实例属于同一个阿里云账号，转发路由器实例属于另一个阿里云账号。在此种场景下，需要在专有网络实例所属的账号中创建授权策略。各个实例所属账号ID如下表所示。

使用专有网络实例所属账号登录访问控制管理控制台。
在左侧导航栏，选择身份管理 > 角色。
在角色页面，单击创建角色。
在创建角色面板，根据以下信息创建角色。
1. 在选择类型向导面板，选择阿里云服务，然后单击下一步。
2. 在配置角色向导面板，配置以下信息，然后单击完成。
  - 角色类型：选择普通服务角色。
  - 角色名称：输入AliyunSmartAGAccessingPVTZRole。
  - 选择授信服务：选择智能接入网关。
  更多信息，请参见创建可信实体为阿里云服务的RAM角色。
3. 在创建角色面板，单击关闭，回到角色页面。
在角色页面，通过搜索框搜索新建的AliyunSmartAGAccessingPVTZRole角色，然后单击角色名称。
在权限管理页签，单击添加权限，进入添加权限面板。
在系统策略下的搜索框中输入pvtz关键字，找到AliyunPvtzReadOnlyAccess权限策略，然后单击权限策略名称，添加只读访问PrivateZone服务的权限，然后单击确定。
在添加权限面板，单击完成，回到角色详情页面。
在角色详情页面，单击信任策略管理页签，查看授权信息。

如上图所示，云连接网实例、部署了PrivateZone服务的专有网络实例、转发路由器实例的账号都不相同。在此场景下，需要完成两个授权任务。各个实例所属账号ID如下表所示。

如果有多个云连接网实例且云连接网实所属的阿里云账号都不相同，您只需要将所有要访问PrivateZone服务的云连接网实例添加到授权策略中即可，如下图所示。