OSS资源默认仅允许资源所属账号访问。通过RAM角色授权以及跨账号角色扮演机制,可安全实现跨账号访问OSS资源,满足企业内部门间协作或外部合作伙伴访问的业务需求。
方案概览
以阿里云账号A授权账号B访问为例,实现流程包括以下核心步骤:
账号A创建信任主体为账号B的RAM角色,并为该角色授予OSS访问权限。
账号B为RAM用户授予角色扮演权限,该用户通过扮演账号A的RAM角色访问指定OSS资源。
方案实现
步骤一:创建RAM角色并授权
账号A需要创建信任主体为账号B的RAM角色,并为该角色分配OSS资源访问权限。完成配置后,账号B可通过扮演该角色安全访问账号A的OSS资源。
创建RAM角色
前往RAM角色列表,单击创建角色。
选择信任主体类型为云账号,信任主体名称为其他云账号,输入账号B的ID,如
170593091407****。说明RAM角色创建后,默认允许账号B的所有RAM用户、RAM角色扮演该角色。如需限制仅特定RAM用户或角色可扮演,需修改已创建RAM角色的信任策略。具体操作请参见修改RAM角色的可信实体为阿里云账号。
单击确定,输入角色名称,然后单击确定,完成角色创建。
为RAM角色授权
以下示例使用OSS只读权限系统策略进行授权。如需自定义权限策略,请参见授权自定义权限策略。
前往RAM角色列表,搜索目标RAM角色名称,在目标RAM角色的操作列单击新增授权。
搜索
AliyunOSSReadOnlyAccess权限策略,勾选权限策略后,单击确认新增授权。
步骤二:扮演RAM角色实现跨账号访问
账号B需要创建RAM用户(可使用现有RAM用户),并为该用户授予角色扮演权限。完成授权后,该用户可通过扮演账号A的RAM角色访问相应OSS资源。
步骤三:验证跨账号访问
完成权限配置后,即可使用账号B的RAM用户访问账号A的OSS资源。以下通过控制台访问方式进行验证。