使用企业A的阿里云主账号创建RAM角色、为该角色授权,并将该角色赋予企业B,即可实现使用企业B的主账号或其RAM子账号访问企业A的ACM资源的目的。

跨账号授权流程

假设企业A(账号ID为11223344,企业别名为Company-a)需要将ACM操作权限授予企业B(账号ID为12345678,企业别名为Company-b)的员工C,则授权流程为:

  1. 步骤一:企业A创建角色
  2. 步骤二:企业A为该角色授权
  3. 步骤三:企业B创建RAM用户
  4. 步骤四:企业B为RAM用户授权
说明 关于企业别名的详细信息,请参见创建域别名

步骤一:企业A创建角色

  1. 使用企业A的云账户登录RAM控制台,在左侧导航栏中选择RAM角色管理
  2. RAM角色管理页面上单击新建RAM角色
  3. 新建RAM角色对话框中的执行以下操作并单击确定
    1. RAM角色类型区域选择用户RAM角色
    2. 选择云账号区域选择其他云账号,并在文本框内输入需授权的云帐户。

      在本示例中,输入企业B的账号ID 12345678

    3. RAM角色名称文本框内输入RAM角色名称。

      在本示例中,输入acm-admin

步骤二:企业A为该角色授权

新创建的角色没有任何权限,因此企业A必须为该角色授权。在本示例中,企业A要将授权策略AliyunACMFullAccess分配给该角色,从而使该角色能够访问ACM资源。

  1. 登录RAM控制台,在左侧导航栏中选择RAM角色管理
  2. RAM角色管理页面上单击目标角色操作列中的添加权限
  3. 添加权限对话框左侧的系统权限策略中找到AliyunACMFullAccess策略,并单击该策略,然后单击确定
    RAM添加权限对话框
    说明 如果还使用到ACM的加解密配置功能,则还需要为用户添加AliyunKMSCryptoAccess授权策略。
注意 此步骤将授予ACM的全部访问权限。如果希望授予单个命名空间的特定权限,请参见访问权限控制

步骤三:企业B创建RAM用户

  1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户
  2. 用户页面上单击新建用户,在用户账号信息区域输入用户的登录名称显示名称
    注意 登录名称必须在云账户内保持唯一。

    如需创建多个用户,则单击添加用户,并输入登录名称显示名称

    图 1. 新建用户页面
    RAM新建用户页面
  3. 访问方式区域选择控制台密码登录,然后按需设置控制台密码要求重置密码多因素认证,并单击确定

完成以上步骤后,一个可以登录控制台的RAM用户就创建成功了。

步骤四:企业B为RAM用户授权

  1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户
  2. 用户页面上单击目标用户操作列中的授权
  3. 添加权限对话框左侧的系统权限策略中找到AliyunSTSAssumeRoleAccess策略,并单击该策略,然后单击确定

步骤五:使用企业B的RAM用户跨账号访问资源

  1. 使用企业B的RAM用户登录ACM控制台。
  2. 登录成功后,将鼠标指针移到右上角头像,并在浮层中单击切换身份
  3. 阿里云-角色切换页面,输入企业A的企业别名Company-a(或默认域名) 和角色名acm-admin,然后单击切换
  4. 对企业A的ACM资源执行操作。