使用企业 A 的阿里云账号(主账号)创建 RAM 角色并为该角色授权,并将该角色赋予企业 B,即可实现使用企业 B 的主账号或其 RAM 用户(子账号)访问企业 A 的阿里云资源的目的。
背景信息
假设企业 A 购买了多种云资源来开展业务,并需要授权企业 B 代为开展部分业务,则可以利用 RAM 角色来实现此目的。RAM 角色是一种虚拟用户,没有确定的身份认证密钥,需要被一个受信的实体用户扮演才能正常使用。为了满足企业 A 的需求,可以按照以下流程操作:
- 企业 A 创建 RAM 角色
- 企业 A 为该 RAM 角色添加权限
- 企业 B 创建 RAM 用户
- 企业 B 为 RAM 用户添加 AliyunSTSAssumeRoleAccess 权限
- 企业 B 的 RAM 用户通过控制台访问企业 A 的资源
可以为 RAM 角色添加的应用发现服务权限策略为:AliyunPTSFullAccess,即 PTS 的完整权限。
步骤一:企业 A 创建 RAM 角色
首先需要使用企业 A 的阿里云账号(主账号)登录 RAM 控制台并创建 RAM 角色。
- 登录 RAM 控制台,在左侧导航栏中单击 RAM 角色管理,并在 RAM 角色管理页面上单击新建 RAM 角色。
- 在新建 RAM 角色面板中执行以下操作并单击确定。
步骤二:企业 A 为该 RAM 角色添加权限
新创建的角色没有任何权限,因此企业 A 必须为该角色添加权限。
步骤三:企业 B 创建 RAM 用户
接下来要使用企业 B 的阿里云账号(主账号)登录 RAM 控制台并创建 RAM 用户。
步骤四:企业 B 为 RAM 用户添加权限
企业 B 必须为其主账号下的 RAM 用户添加 AliyunSTSAssumeRoleAccess 权限,RAM 用户才能扮演企业 A 创建的 RAM 角色。
- 在 RAM 控制台左侧导航栏中选择 。
- 在用户页面上找到需要授权的用户,单击操作列中的添加权限。
- 在添加权限面板的选择权限区域框中,通过关键字搜索 AliyunSTSAssumeRoleAccess 权限策略 ,并单击该权限策略将其添加至右侧的已选择列表中,然后单击确定。
- 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。
后续步骤
完成上述操作后,企业 B 的 RAM 用户即可按照以下步骤登录控制台访问企业 A 的云资源。
- 在浏览器中打开 RAM 用户登录入口 https://signin.aliyun.com/login.htm。
- 在 RAM 用户登录页面上,输入 RAM 用户登录名称,单击下一步,并输入 RAM 用户密码,然后单击登录。
说明 RAM 用户登录名称的格式为
<$username>@<$AccountAlias>
或<$username>@<$AccountAlias>.onaliyun.com
。<$AccountAlias>
为账号别名,如果没有设置账号别名,则默认值为阿里云账号(主账号)的 ID。 - 在子用户用户中心页面上,将鼠标指针移到右上角头像,并在浮层中单击切换身份。
- 在阿里云-角色切换页面,输入企业 A 的企业别名或默认域名,以及角色名,然后单击切换。
- 对企业 A 的阿里云资源执行操作。
在文档使用中是否遇到以下问题
更多建议
匿名提交