当您创建自助管理权限模式的资源栈组时,需要事先在管理员账号和目标账号中手动创建RAM角色,建立二者的信任关系,然后在其他阿里云账号中部署资源栈。

背景信息

授权自助管理权限时,您需要为下表所示的两个阿里云账号分别创建RAM角色并授权:

阿里云账号 RAM角色 权限策略 权限策略说明
管理员账号(账号A) AliyunROSStackGroupAdministrationRole 自定义策略AssumeRole-AliyunROSStackGroupExecutionRole 允许RAM角色(AliyunROSStackGroupAdministrationRole)扮演角色身份(AliyunROSStackGroupExecutionRole)。
目标账号(账号B) AliyunROSStackGroupExecutionRole 系统策略AdministratorAccess 允许RAM角色(AliyunROSStackGroupExecutionRole)管理目标账号(账号B)的所有阿里云资源。
说明 管理员账号和目标账号可以为同一阿里云账号。关于管理员账号和目标账号的更多信息,请参见 基本概念

授权成功后,当您使用管理员账号(账号A)登录资源编排控制台创建资源栈组后,即可在该资源栈组中为目标账号(账号B)创建资源栈。

方式一:通过资源编排控制台设置权限

  1. 设置目标账号(账号B)的权限。
    1. 使用目标账号(账号B)登录RAM控制台
    2. 为目标账号(账号B)创建可信实体为管理员账号(账号A)的RAM角色(AliyunROSStackGroupExecutionRole)。
      1. 在左侧导航栏,选择身份管理 > 角色
      2. 角色页面,单击创建角色
      3. 创建角色面板,选择可信实体类型为阿里云账号,然后单击下一步
      4. 输入角色名称AliyunROSStackGroupExecutionRole,然后选择其他云账号,最后输入管理员账号(账号A)的ID。
      5. 单击完成
    3. 为RAM角色(AliyunROSStackGroupExecutionRole)授予AdministratorAccess权限。
      1. 角色页面,单击RAM角色(AliyunROSStackGroupExecutionRole)操作列的添加权限
      2. 添加权限面板,授权主体会自动填入,选择授权范围整个云账号
      3. 选择权限为系统策略,然后选择AdministratorAccess
      4. 单击确定
      5. 单击完成
  2. 设置管理员账号(账号A)的权限。
    1. 使用管理员账号(账号A)登录RAM控制台
    2. 为管理员账号(账号A)创建可信实体为资源编排服务的RAM角色(AliyunROSStackGroupAdministrationRole)。
      1. 在左侧导航栏,选择身份管理 > 角色
      2. 角色页面,单击创建角色
      3. 创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步
      4. 选择角色类型普通服务角色
      5. 输入角色名称AliyunROSStackGroupAdministrationRole,然后选择受信服务为资源编排服务
      6. 单击完成
      7. 单击关闭
    3. 创建自定义权限策略(AssumeRole-AliyunROSStackGroupExecutionRole)。
      1. 在左侧导航栏,选择权限管理 > 权限策略
      2. 权限策略页面,单击创建权限策略
      3. 创建权限策略页面,单击脚本编辑页签,输入以下策略内容,然后单击下一步:编辑基本信息。输入权限策略名称为AssumeRole-AliyunROSStackGroupExecutionRole
        该策略允许RAM角色(AliyunROSStackGroupAdministrationRole)扮演角色身份(AliyunROSStackGroupExecutionRole)。 
        {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "acs:ram::*:role/AliyunROSStackGroupExecutionRole"
    }
  ],
  "Version": "1"
}
      4. 单击确定
    4. 为RAM角色(AliyunROSStackGroupAdministrationRole)授予AssumeRole-AliyunROSStackGroupExecutionRole权限。
      1. 在左侧导航栏,选择身份管理 > 角色
      2. 角色页面,单击RAM角色(AliyunROSStackGroupAdministrationRole)操作列的添加权限
      3. 添加权限面板,授权主体会自动填入,选择授权范围整个云账号
      4. 选择权限为自定义策略,然后选择AssumeRole-AliyunROSStackGroupExecutionRole
      5. 单击确定
      6. 单击完成

方式二:通过资源编排模板设置权限

通过资源编排模板为管理员账号(账号A)和目标账号(账号B)创建RAM角色,并赋予资源栈组和资源栈的操作权限。

  1. 管理员账号(账号A)登录资源编排控制台,使用模板AliyunROSStackGroupAdministrationRole创建RAM角色并授权。
  2. 目标账号(账号B)登录资源编排控制台,使用模板AliyunROSStackGroupExecutionRole创建RAM角色并授权。