ACM 支持阿里云访问控制 RAM 的账户体系。借助 RAM 角色,可实现访问其他云账户的 ACM 资源的目的。

云账号(主账号,Alibaba Cloud account)

开始使用阿里云服务前,首先需要注册一个云账号。云账号是阿里云资源归属、资源使用计量计费的基本主体。云账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。

默认情况下,资源只能被云账号所访问,任何其他用户访问都需要获得云账号的显式授权。云账号就是操作系统的root或Administrator,所以我们有时称它为根账号或主账号。

RAM角色(RAM role)

RAM角色是一种虚拟用户,与实体用户(云账号、RAM用户和云服务)和教科书式角色(Textbook role)不同。

  • 实体用户:拥有确定的登录密码或访问密钥。
  • 教科书式角色:教科书式角色或传统意义上的角色是指一组权限集合,类似于RAM里的权限策略。如果一个用户被赋予了这种角色,也就意味着该用户被赋予了一组权限,可以访问被授权的资源。
  • RAM角色:RAM角色有确定的身份,可以被赋予一组权限策略,但没有确定的登录密码或访问密钥。RAM角色需要被一个受信的实体用户扮演,扮演成功后实体用户将获得RAM角色的安全令牌,使用这个安全令牌就能以角色身份访问被授权的资源。

根据RAM可信实体的不同,RAM支持以下三种类型的角色:

  • 阿里云账号:允许RAM用户所扮演的角色。扮演角色的RAM用户可以属于自己的云账号,也可以属于其他云账号。此类角色主要用来解决跨账号访问和临时授权问题。
  • 阿里云服务:允许云服务所扮演的角色。此类角色主要用于授权云服务代理您进行资源操作。
  • 身份提供商:允许受信身份提供商下的用户所扮演的角色。此类角色主要用于实现与阿里云的SSO。

关于如何创建RAM角色,请参见创建可信实体为阿里云账号的RAM角色创建可信实体为阿里云服务的RAM角色创建可信实体为身份提供商的RAM角色

关于 RAM 旧版和新版控制台

RAM 控制台分为旧版和新版。切换版本的方法为:

  • 在旧版控制台上,单击任意页面右下角的体验新版,即可切换为新版控制台。
  • 在新版控制台上,单击概览页面右上角的切换旧版,即可切换为旧版控制台。

(旧版)创建 RAM 角色

  1. 登录 RAM 控制台,在左侧导航栏中选择角色管理
  2. 在页面右上角单击新建角色。在创建角色对话框的选择角色类型子页面上按需选择。
    • 用户角色:受信云账户(当前云账户或其他云账户)下的 RAM 用户可以通过扮演用户角色来访问您的云资源。
    • 服务角色:受信云服务(例如 ECS 云服务器)可以通过扮演用户角色来访问您的云资源。
  3. 根据上一步的选择执行相应操作:
    • 如果选择用户角色,则在填写类型信息子页面选择当前云账户,或者选择其他云账户并输入其账户 ID,并单击下一步
    • 如果选择服务角色,则在填写类型信息子页面选择一种云服务。
  4. 配置角色基本信息子页面上输入角色名称,然后单击创建
  5. 如果手机验证对话框弹出,则单击点击获取,然后输入手机上收到的验证码。

(新版)创建 RAM 角色

  1. 登录 RAM 控制台,在左侧导航栏中选择 RAM 角色管理
  2. RAM 角色管理页面上单击新建 RAM 角色
  3. 新建 RAM 角色对话框中的执行以下操作并单击确定
    1. RAM 角色类型区域按需选择:
      • 用户 RAM 角色:受信云账户(当前云账户或其他云账户)下的 RAM 用户可以通过扮演用户角色来访问您的云资源。
      • 服务 RAM 角色:受信云服务(例如 ECS 云服务器)可以通过扮演用户角色来访问您的云资源。
    2. 根据上一步的选择执行相应操作:
      • 如果选择用户 RAM 角色,则在选择云账号区域选择当前云账号,或者选择其他云账号并在文本框内输入其账户ID。
      • 如果选择服务 RAM 角色,则在选择受信服务下拉框中选择一种云服务。
    3. RAM 角色名称文本框内输入 RAM 角色名称。

(旧版)为 RAM 角色授权

新创建的角色没有任何权限,因此需要为该角色授权。

  1. 创建角色对话框的创建成功子页面单击授权。如果此前已关闭创建角色对话框,则在角色管理页面单击新创建角色的名称,然后在左侧导航栏中选择角色授权策略
    图 1. 创建角色对话框


  2. 角色授权策略页面右上角单击编辑授权策略
  3. 编辑角色授权策略对话框左侧的可选授权策略名称中找到 AliyunACMFullAccess 策略,并按中间的 > 图标将其添加到已选授权策略名称中,然后单击确定
    • 如果还使用到 ACM 的加解密配置功能,则还需要为用户添加 AliyunKMSCryptoAccess 授权策略。
  4. 如果手机验证对话框弹出,则单击点击获取,然后输入手机上收到的验证码。
注意 此步骤将授予 ACM 的全部访问权限。如果希望授予单个命名空间的特定权限,请参考文末的“访问权限控制”。

(新版)为 RAM 角色授权

新创建的角色没有任何权限,因此需要为该角色授权。

  1. 登录 RAM 控制台,在左侧导航栏中选择 RAM 角色管理
  2. RAM 角色管理页面上单击目标角色操作列中的添加权限


  3. 添加权限对话框左侧的系统权限策略中找到 AliyunACMFullAccess 策略,并单击该策略,然后单击确定
    • 如果还使用到 ACM 的加解密配置功能,则还需要为用户添加 AliyunKMSCryptoAccess 授权策略。

(旧版)为 RAM 角色解除授权

  1. 登录 RAM 控制台,在左侧导航栏中选择角色管理
  2. 角色管理页面上单击目标角色操作列中的授权
  3. 编辑角色授权策略对话框中,选择已选授权策略名称中的 AliyunACMFullAccess,并按中间的 < 图标将其移至左边的可选授权策略名称,然后单击确定

授权解除后,RAM 用户无权登录 ACM。

(新版)为 RAM 角色解除授权

  1. 登录 RAM 控制台,在左侧导航栏中选择 RAM 角色管理
  2. RAM 角色管理页面上单击目标角色的 RAM 角色名称
  3. RAM 角色授权策略页签上的表格中,单击操作列中的移除权限
  4. 移除权限对话框中单击确认

授权解除后,RAM 用户无权登录 ACM。

(旧版)删除 RAM 角色

  1. 登录 RAM 控制台,在左侧导航栏中选择角色管理
  2. 角色管理页面上单击目标用户操作列中的删除
  3. 删除角色对话框中单击确定

(新版)删除 RAM 角色

  1. 登录 RAM 控制台,在左侧导航栏中选择 RAM 角色管理
  2. RAM 角色管理页面上单击目标角色操作列中的删除 RAM 角色
  3. 删除 RAM 角色对话框中单击确认

参考