借助访问控制RAM的RAM用户,您可以实现权限分割的目的,按需为子账号赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。

前提条件

  • 已注册阿里云账号(主账号)。
  • 已创建RAM用户(子账号),详情请参见创建RAM用户

背景信息

在微服务网关中,会透露出关联产品(如SLB)的信息,为保障这些关联产品的安全,需要严格控制授权。

目前子账号使用微服务网关无需授权,和主账号拥有相同权限,但是对于微服务网关关联产品的使用,需要主账号的授权。

说明 本文仅介绍主账号为子账号授予SLB只读权限的流程,如您需要授予子账号其他权限,参考本文即可。

角色授权

主账号首先需要具备一定的权限。

  1. 使用主账号登录微服务网关控制台
  2. 系统弹出云资源访问授权界面,单击同意授权,同意CSB使用该角色访问您在其他服务中的云资源。
    云资源访问授权
    说明 如果已经同意CSB使用该角色访问云资源,则不会出现该页面,请执行后续步骤。
  3. 在微服务网关的网关管理页面单击新建网关
  4. 系统弹出云资源访问授权页面,单击同意授权,同意CSB默认使用该角色访问SLB。
    云资源授权-SLB访问
    说明 如果已经同意CSB使用该角色访问SLB,则不会出现该页面,直接出现新建网关对话框。
    同意授权后,返回网关管理页面。

SLB授权

微服务网关会为用户自动创建访问网关实例的SLB入口,所以主账号需要对子账号授权,使其至少拥有可以访问SLB实例的权限。

  1. 使用主账号登录RAM控制台
  2. 在左侧导航栏选择人员管理 > 用户
  3. 用户页面选择目标子账号,在该账号的操作列单击添加权限
  4. 添加权限页面选择AliyunSLBReadOnlyAccess权限,单击确定,然后单击完成
    添加权限
    参数 描述
    授权范围 默认选择云账号全部资源,即主账号的全部资源。
    被授权主体 目标子账号,系统自动填入。
    选择权限 单击系统策略,从系统策略中选择AliyunSLBReadOnlyAccess。您可在搜索框输入SLB,通过关键字进行模糊搜索,提升查找效率。