为了让您能够用统一的管控账号体系来配置阿里云云产品的权限,EDAS现将权限控制体系迁移至RAM。本文介绍了如何在RAM控制台为子账号授予EDAS的权限策略,以及切换授权的相关操作。
前提条件
创建自定义策略前,需要先了解权限策略语言的基本结构和语法,请参见权限策略语法和结构。
步骤一:生成EDAS的权限策略
您可以参见以下三种方式来查看或生成EDAS的权限策略。
查看权限策略示例库
无论您使用了RAM授权还是EDAS内置授权,您都可以在权限策略示例库中来查找您想授予的权限策略,详情请参见权限策略示例库。
使用权限策略工具来生成权限策略
- 在RAM Policy Editor页面的添加规则区域设置权限策略参数,然后单击生成授权策略。
参数 描述 效力(Effect) 授权效力包括两种:允许(Allow)和拒绝(Deny)。 操作(Action) 操作是指对具体资源的操作。操作支持多值,取值为:所定义的云服务的操作名称。格式为:<service-name>:<action-name>。 - service-name:阿里云产品名称。
- action-name: service:相关的云服务的操作名称。
资源(Resource) 资源是指被授权的具体对象。格式遵循阿里云ARN(Aliyun Resource Name)的统一规范: acs:<service-name>:<region>:<account-id>:<relative-id>。限制条件(Condition)(可选) 限制条件是指授权生效的限制条件。限制条件由一个或多个条件子句构成。一个条件子句由条件关键字(Key)、条件操作类型(Operator)和条件值组成(Value)。 权限策略基本元素和配置规则详情请参见权限策略基本元素。
直接转换EDAS内置权限为RAM权限策略
如果您已经使用EDAS内置权限完成过账号授权,您可以在EDAS控制台直接将配置的权限转换成RAM权限策略。
- 在弹出的RAM权限策略对话框复制权限策略,然后单击确定。
步骤二:创建权限策略
- 在新建自定义权限策略页面设置策略参数,完成设置后单击确定。
参数 描述 策略名称 输入一个自定义的策略名称,策略名称仅可包含大小写字母、数字以及短划线(-)。 备注(可选) 输入权限策略的备注信息。 配置模式 选择脚本配置,在策略内容文本框内输入步骤一:生成EDAS的权限策略中生成的权限策略。
步骤三:创建RAM用户并添加授权
- 在创建用户页面,配置用户信息然后单击确定。
参数 描述 登录名称 输入创建账户的登录名称,仅可包含英文字母、数字、小数点(.)或短划线(-),最多可输入64个字符。 显示名称 单击添加用户,可一次性创建多个RAM用户。 访问方式 选择控制台密码登录或编程访问,请妥善保管设置的密码或生成的AccessKey,建议只选择一种访问方式以提高安全性。 - 在弹出的添加权限面板内选择权限,然后单击确定。
参数 描述 被授权主体 被授权主体会自动填入。 选择权限 选择自定义策略,然后在搜索框内搜索设置的权限策略名称,在权限策略名称区域单击搜索出来的策略名称,即可选中策略。
步骤四:在EDAS控制台将授权切换为RAM授权
- 在子账号页面选择目标子账号,在操作列单击切换到RAM。
说明- 已经使用了RAM授权的子账号,操作列的按钮将会无法单击。
- 仍使用EDAS内置授权的子账号,可以选择切换到RAM授权,切换后将无法重新使用EDAS内置授权。
切换到RAM授权时,EDAS会预先判断该子账号是否已经在RAM控制台授予了EDAS的权限。
- 如果已经完成了RAM授权,在弹窗中单击确定,即可成功切换为RAM鉴权。
- 若子账号没有在RAM控制台被授予EDAS权限,将提示前往RAM控制台完成授权。
在文档使用中是否遇到以下问题
更多建议
匿名提交