通过修改RAM角色的信任策略内容,可以修改RAM角色的可信实体。本文通过示例为您介绍如何修改RAM角色的可信实体为阿里云账号、阿里云服务或身份提供商。
背景信息
操作步骤
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在角色页面,单击目标RAM角色名称。
- 单击信任策略管理页签,然后单击修改信任策略。
- 在修改信任策略面板,修改信任策略内容,然后单击确定。
示例一:修改RAM角色的可信实体为阿里云账号
若Principal
中有RAM
字段,表示该RAM角色的可信实体为阿里云账号,即可以被受信阿里云账号下授权的RAM用户、RAM角色扮演。
以下述信任策略为例:该RAM角色可以被阿里云账号(AccountID=123456789012****)下授权的任何RAM用户、RAM角色扮演。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::123456789012****:root"
]
}
}
],
"Version": "1"
}
若您将Principal
中的内容更改如下,则表示该RAM角色可以被阿里云账号(AccountID=123456789012****)下的RAM用户testuser
扮演。
"Principal": {
"RAM": [
"acs:ram::123456789012****:user/testuser"
]
}
testuser
。
若您将Principal
中的内容更改如下,则表示该RAM角色可以被阿里云账号(AccountID=123456789012****)下的RAM角色testrole
扮演。
"Principal": {
"RAM": [
"acs:ram::123456789012****:role/testrole"
]
}
testrole
。
示例二:修改RAM角色的可信实体为阿里云服务
若Principal
中有Service
字段,表示该RAM角色的可信实体为阿里云服务,即可以被受信云服务扮演。
以下述信任策略为例:该RAM角色可以被当前阿里云账号下的ECS服务扮演。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}
],
"Version": "1"
}
示例三:修改RAM角色的可信实体为身份提供商
若Principal
中有Federated
字段,表示该RAM角色的可信实体为身份提供商,即可以被受信身份提供商下的用户扮演。
以下述信任策略为例:该RAM角色可以被当前阿里云账号(AccountID=123456789012****)中的身份提供商testprovider
下的用户扮演。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::123456789012****:saml-provider/testprovider"
]
},
"Condition":{
"StringEquals":{
"saml:recipient":"https://signin.alibabacloud.com/saml-role/sso"
}
}
}
],
"Version": "1"
}
说明
服务关联角色的信任策略由关联的云服务定义,您不能修改服务关联角色的信任策略。更多信息,请参见服务关联角色。