如果您需要访问其他云账号的资源、或允许其他云账号访问您的资源,可以使用RAM角色实现,本文介绍创建和使用RAM角色的步骤。
背景信息
如果云账号A需要访问云账号B下的资源,首先在云账号B下创建RAM角色,然后云账号A的RAM用户扮演RAM角色实现跨云账号的资源访问。RAM角色的概念、类型和使用流程,请参见RAM角色概览。
步骤一:创建RAM角色
在被访问的云账号B下创建RAM角色。
登录RAM控制台。
在左侧导航栏中,选择 。
在角色页面,单击创建角色。
在选择类型配置向导中,选择可信实体类型为阿里云账号,然后单击下一步。
在配置角色配置向导中,配置如下内容,然后单击完成。
参数
说明
角色名称
输入角色名称,例如
aliyunlogreadrole
。备注
输入备注信息。
选择信任的云账号
选择其他云账号,输入云账号A的UID。
在创建完成配置向导中,单击关闭。
步骤二:为RAM角色授权
创建RAM角色后,您需要为该RAM角色授予系统策略或自定义策略,以控制云账号A对云账号B资源的访问权限,这些策略定义了允许或拒绝的具体操作。
AliyunLogFullAccess:管理日志服务的权限。
AliyunLogReadOnlyAccess:只读访问日志服务的权限。
当系统策略无法满足您的需求,您可以通过创建自定义策略实现精细化权限管理。具体操作,请参见创建自定义权限策略。权限策略示例请参见RAM自定义授权场景和日志服务RAM授权策略。
本文以为RAM角色授予AliyunLogReadOnlyAccess权限为例。
登录RAM控制台。
在左侧导航栏,选择 。
找到目标RAM角色,单击新增授权。
在新增授权页面,选中目标权限(例如AliyunLogReadOnlyAccess权限),然后单击确定。
确认授权结果,单击完成。
步骤三:为受信云账号下的RAM用户授权
阿里云主账号不能扮演RAM角色,所以您需要在云账号A下创建RAM用户,并为RAM用户授予扮演RAM角色的权限(调用STS服务AssumeRole接口的权限,即AliyunSTSAssumeRoleAccess权限)。
登录RAM控制台。
在左侧导航栏,选择 。
找到目标用户,单击新增授权。
在新增授权页面,选中系统策略下的AliyunSTSAssumeRoleAccess,然后单击确定。
确认授权结果,单击完成。
步骤四:获取RAM角色的临时安全令牌
当云账号A的RAM用户被授予AssumeRole权限后,通过调用STS的AssumeRole接口获取临时安全令牌,从而扮演您在步骤一:创建RAM角色中创建的RAM角色,实现对云账号B的资源访问。