资源编排服务通过角色扮演对资源栈组中的资源栈实例所对应的资源栈进行部署。在使用资源栈组前,您需要赋予资源编排服务必要的权限,并准备好对应角色。

背景信息

在使用资源栈组功能之前,您需要为以下账号设置权限:
  • 一个管理员账号

    用于创建资源栈组。

  • 一个目标账号

    用于在资源栈组中创建资源栈。

设置账号权限的操作方法如下:

通过控制台设置管理员账号权限

为管理员账号创建角色AliyunROSStackGroupAdministrationRole,并授予权限AssumeRole-AliyunROSStackGroupExecutionRole

  1. 创建角色AliyunROSStackGroupAdministrationRole,并授权给ROS服务。
    1. 使用阿里云账号登录RAM控制台
    2. 在左侧导航栏,单击RAM角色管理
    3. 单击创建RAM角色
    4. 选择可信实体类型为阿里云服务,单击下一步
    5. 选择角色类型普通服务角色
    6. 输入角色名称AliyunROSStackGroupAdministrationRole,选择受信服务资源编排服务
    7. 单击完成
  2. 创建权限策略AssumeRole-AliyunROSStackGroupExecutionRole
    1. 在左侧导航栏的权限管理菜单下,单击权限策略管理
    2. 单击创建权限策略
    3. 输入策略名称AssumeRole-AliyunROSStackGroupExecutionRole配置模式选择脚本配置
      策略内容中输入如下策略,该策略的意思为允许角色AliyunROSStackGroupAdministrationRole扮演角色身份AliyunROSStackGroupExecutionRole
      {
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "acs:ram::*:role/AliyunROSStackGroupExecutionRole"
          }
        ],
        "Version": "1"
      }
    4. 单击确定
  3. 为角色AliyunROSStackGroupAdministrationRole授权AssumeRole-AliyunROSStackGroupExecutionRole
    1. 在左侧导航栏,单击RAM角色管理
    2. RAM角色名称列表下,单击角色名称AliyunROSStackGroupAdministrationRole
    3. 在角色AliyunROSStackGroupAdministrationRole基本信息页面,单击添加权限
    4. 添加权限页面,选择被授权主体AliyunROSStackGroupAdministrationRole,选择自定义策略AssumeRole-AliyunROSStackGroupExecutionRole
    5. 单击确定
    6. 单击完成

通过控制台设置目标账号权限

为目标账号创建角色AliyunROSStackGroupExecutionRole,并授予权限AdministratorAccess,资源栈组在该目标账号下创建资源栈时会使用该权限。

  1. 创建角色AliyunROSStackGroupExecutionRole
    1. 使用阿里云账号登录RAM控制台
    2. 在左侧导航栏,单击RAM角色管理
    3. 单击创建RAM角色
    4. 选择可信实体类型为阿里云账号,单击下一步
    5. 输入角色名称AliyunROSStackGroupExecutionRole,选择其他云账号,输入管理员账号的ID。
    6. 单击完成
  2. 为角色AliyunROSStackGroupExecutionRole授权AdministratorAccess
    1. 在左侧导航栏,单击RAM角色管理
    2. RAM角色名称列表下,单击角色名称AliyunROSStackGroupExecutionRole
    3. 在角色AliyunROSStackGroupExecutionRole基本信息页面,单击添加权限
    4. 添加权限页面,选择被授权主体AliyunROSStackGroupExecutionRole,选择系统策略AdministratorAccess
    5. 单击确定
    6. 单击完成

通过ROS模板设置权限

通过ROS模板为管理员账号和目标账号创建执行角色,并赋予资源栈组和资源栈的操作权限。

  1. 使用阿里云账号登录资源编排控制台
  2. 使用模板AliyunROSStackGroupAdministrationRole为管理员账号创建管理员角色及权限。
  3. 使用模板AliyunROSStackGroupExecutionRole为目标账号创建执行角色及权限。