配置授权云效
概述
作为一站式研发协同平台,云效在很多场景下需要和阿里云的其它云服务进行交互,比如ECS购买、运维相关的云服务集成等。云效以指定的阿里云账户身份,通过OpenAPI调用,完成上述操作。为此,在云效本企业中,企业管理员需要先做适当的授权配置。本文详细讲解如何进行这样的授权配置。
添加授权并绑定
确定付费账户
请确定一个阿里云主账户。云效将以这个账户的身份购买机器。
该阿里云主账户满足下述两个选项之一:
选项一,该阿里云主账户本身是云效用户,且是云效中本企业的企业管理员。
选项二,该阿里云主账户的某个RAM子账户是云效用户,且是云效中本企业的企业管理员。该RAM子账户还需要满足一个条件:它具有为该阿里云主账户创建RAM角色的权限。一般来说,这通过在RAM控制台中,向该RAM子账户(或其所属组)添加系统授权策略“AliyunRAMFullAccess”来完成。
授权
这一步的目的是,授权云效,可以用该阿里云主账户的身份,完成购买机器等操作。这一步完成后,云效就有此权限了。至于在云效的本企业中,是否用此权力,将在下一步配置绑定。
请以上述阿里云主账户或其RAM子账户登录云效本企业,从页面右上角齿轮图标处进入“企业设置”,选择“主机管理”,进而选择“授权”,即进入授权配置页面。
在授权配置页面的“我授权并绑定”区域,点击“授权”,并在随后页面中点击确认,即可完成。
原理:授权意味着,在阿里云RAM服务中,为该主账户添加了“AliyunRDCDefaultRole”这个角色并赋予其授权策略“AliyunRDCRolePolicy”,允许云效通过该角色完成操作。可前往RAM控制台中,该账户的RAM角色管理页面查看。相关知识请参阅RAM角色帮助文档中,“服务角色”相关内容。
错误提示与解决办法:如遇弹窗提示“权限不足”,说明该RAM子账户没有为其阿里云主账户创建RAM角色的权限。请参考上文“确定付费账户”->“选项二”解决。
绑定
这一步的目的是,告诉云效,当云效中本企业要进行购买机器等操作时,以该阿里云主账户的身份完成。
在授权配置页面(进入方法见上文)的“我授权并绑定”区域,点击“绑定”,即可完成。
修改绑定
当本企业已绑定某个阿里云主账户后,可以修改为绑定另一个阿里云主账户,同时解除原绑定关系。过程与初次配置授权时相同:
确定要更换到的阿里云主账户。
若尚未授权,以该主账户登录云效本企业,在授权配置页面的“我授权并绑定”区域点击“授权”。
在授权配置页面继续点击“绑定”。
解除绑定
可以解除当前本企业与某个阿里云主账户的绑定关系。方法为,企业管理员在授权配置页面的“解除绑定”区域,点击“解除”。
账户与企业解除绑定关系后,若希望亦去掉授权(即云效以该账户名义操作的权力),可前往RAM控制台中,该账户的RAM角色管理页面中,删除“AliyunRDCDefaultRole”角色。相关知识请参阅RAM角色帮助文档。