借助 RAM 角色实现跨云账号访问资源

使用企业 A 的阿里云账号（主账号）创建 RAM 角色并为该角色授权，并将该角色赋予企业 B，即可实现使用企业 B 的 RAM 用户（子账号）访问企业 A 的阿里云资源的目的。

背景信息

假设企业 A 购买了多种云资源来开展业务，并需要授权企业 B 代为开展部分业务，则可以利用 RAM 角色来实现此目的。RAM 角色是一种虚拟用户，没有确定的身份认证密钥，需要被一个受信的实体用户扮演才能正常使用。为了满足企业 A 的需求，可以按照以下流程操作：

1. 企业 A 创建 RAM 角色
2. 企业 A 为该 RAM 角色添加 AliyunEDASFullAccess 权限
3. 企业 B 创建 RAM 用户
4. 企业 B 为 RAM 用户添加 AliyunSTSAssumeRoleAccess 权限
5. 企业 B 的 RAM 用户通过控制台或 API 访问企业 A 的资源

可以为 RAM 角色添加的 EDAS 系统权限策略包括：

• AliyunEDASFullAccess：EDAS的完整权限

注意：

• 被访问的角色需要具有 AliyunEDASFullAccess 权限。
• RAM子用户只能扮演非自己主账户的角色，即子账户不能扮演子账户所在的主账户下的角色，只能扮演其它主账户下的拥用 AliyunEDASFullAccess 权限的角色。用户在自己扮演自己主账户角色的情况下将无法访问 EDAS，请退出角色登录再访问 EDAS。
• 子账户扮演具有 AliyunEDASFullAccess 权限的角色成功后，即拥有所扮演主账号的所有 EDAS 权限。

步骤一：企业 A 创建 RAM 角色

首先需要使用企业 A 的阿里云账号（主账号）登录 RAM 控制台并创建 RAM 角色。

1. 登录 RAM 控制台，在左侧导航栏中单击 RAM 角色管理，并在 RAM 角色管理页面上单击新建 RAM 角色。

2. 在新建 RAM 角色面板中执行以下操作并单击确定。

   1. 在选择可信实体类型区域框中选择阿里云账号。
   2. 在选择云账号区域框中选择其他云账号，并在文本框内输入企业 B 的云账号。

   3. 在 RAM 角色名称文本框内输入 RAM 角色名称。

      说明：RAM 角色名称中允许使用英文字母、数字和“-”，长度不超过 64 个字符。

步骤二：企业 A 为该 RAM 角色添加权限

新创建的角色没有任何权限，因此企业 A 必须为该角色添加权限。

1. 在 RAM 控制台左侧导航栏中单击 RAM 角色管理。
2. 在 RAM 角色管理页面上单击目标角色操作列中的添加权限。

3. 在添加权限面板的选择权限区域框中，通过关键字搜索需要添加的权限策略 ，并单击权限策略将其添加至右侧的已选择列表中，然后单击确定。

   说明：可添加的权限参见背景信息部分。

4. 在添加权限的授权结果页面上，查看授权信息摘要，并单击完成。

步骤三：企业 B 创建 RAM 用户

接下来要使用企业 B 的阿里云账号（主账号）登录 RAM 控制台并创建 RAM 用户。

1. 登录 RAM 控制台，在左侧导航栏中选择人员管理 > 用户，并在用户页面上单击新建用户。

2. 在新建用户页面的用户账号信息区域框中，输入登录名称和显示名称。

   说明：登录名称中允许使用小写英文字母、数字、“.”、“_”和“-”，长度不超过 128 个字符。显示名称不可超过 24 个字符或汉字。

3. （可选）如需一次创建多个用户，则单击添加用户，并重复上一步。

4. 在访问方式区域框中，勾选控制台密码登录或编程访问，并单击确定。

   说明：为提高安全性，请仅勾选一种访问方式。

   • 如果勾选控制台密码登录，则完成进一步设置，包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码，以及是否开启 MFA 多因素认证。
   • 如果勾选编程访问，则 RAM 会自动为 RAM 用户创建 AccessKey（API 访问密钥）。

   注意：出于安全考虑，RAM 控制台只提供一次查看或下载 AccessKeySecret 的机会，即创建 AccessKey 时，因此请务必将 AccessKeySecret 记录到安全的地方。

5. 在手机验证对话框中单击获取验证码，并输入收到的手机验证码，然后单击确定。创建的 RAM 用户显示在用户页面上。

步骤四：企业 B 为 RAM 用户添加权限

企业 B 必须为其主账号下的 RAM 用户添加 AliyunSTSAssumeRoleAccess 权限，RAM 用户才能扮演企业 A 创建的 RAM 角色。

1. 在 RAM 控制台左侧导航栏中选择人员管理 > 用户。
2. 在用户页面上找到需要授权的用户，单击操作列中的添加权限。
3. 在添加权限面板的选择权限区域框中，通过关键字搜索 AliyunSTSAssumeRoleAccess 权限策略 ，并单击该权限策略将其添加至右侧的已选择列表中，然后单击确定。
4. 在添加权限的授权结果页面上，查看授权信息摘要，并单击完成。

后续步骤

完成上述操作后，企业 B 的 RAM 用户即可按照以下步骤登录控制台访问企业 A 的云资源或调用 API。

登录控制台访问企业 A 的云资源

1. 在浏览器中打开 RAM 用户登录入口 https://signin.aliyun.com/login.htm。
2. 在 RAM 用户登录页面上，输入 RAM 用户登录名称，单击下一步，并输入 RAM 用户密码，然后单击登录。说明：RAM 用户登录名称的格式为 <$username>@<$AccountAlias>或 <$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias> 为账号别名，如果没有设置账号别名，则默认值为阿里云账号（主账号）的 ID。
3. 在子用户用户中心页面上，将鼠标指针移到右上角头像，并在浮层中单击切换身份。
4. 在阿里云－角色切换页面，输入企业 A 的企业别名或默认域名，以及角色名，然后单击切换。
5. 对企业 A 的阿里云资源执行操作。

使用企业 B 的 RAM 用户通过 API 访问企业 A 的云资源

要使用企业 B 的 RAM 用户通过 API 访问企业 A 的云资源，必须在代码中提供 RAM 用户的 AccessKeyId、AccessKeySecret 和 SecurityToken（临时安全令牌）。使用 STS 获取临时安全令牌的方法参见STS 使用入门。

更多信息

• 什么是 RAM
• RAM 角色概览
• 创建可信实体为阿里云账号的 RAM 角色