当您需要使用自定义域名时,需要为账号添加RAM角色,并为该RAM角色授予对阿里云SSL证书操作的权限,容器镜像服务才能正常访问该SSL证书。本文介绍如何配置使用自定义域名时的RAM访问控制。

步骤一:创建RAM角色

容器镜像服务访问自定义域名时,需要为阿里云账号创建名为AliyunContainerRegistryCustomizedDomainRole的角色。

  1. 云账号登录RAM控制台
  2. 在左侧导航栏,单击RAM角色管理
  3. 单击创建RAM角色
  4. 选择可信实体类型为阿里云账号,单击下一步
  5. 设置角色名称为AliyunContainerRegistryCustomizedDomainRole,输入备注,选择云账号为当前云账号。单击完成
    说明 若选择其他云账号,需要填写其他云账号的ID。

步骤二:配置RAM角色的权限策略

配置RAM角色的权限策略,使其拥有对阿里云SSL证书资源读取的权限。

  1. 云账号登录RAM控制台
  2. 在左侧导航栏,单击RAM角色管理
  3. RAM角色名称列表下,找到目标RAM角色。
  4. 单击添加权限,被授权主体会自动填入。
  5. 权限策略名称列表下,单击AliyunYundunCertReadOnlyAccess
    说明 在右侧区域框,选择某条策略并单击×,可撤销该策略。
  6. 单击确定
  7. 单击完成

步骤三:配置RAM角色的信任策略

为该RAM角色的信任策略中添加容器镜像服务,使容器镜像服务可以访问阿里云SSL证书。

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击RAM角色管理
  3. RAM角色名称列表下,单击目标RAM角色名称。
  4. 在RAM角色详情页面单击信任策略管理页签。
  5. 信任策略管理页签下单击修改信任策略
  6. 拷贝以下内容到修改信任策略对话框的文本框中,然后单击确定
    {
        "Statement": [
            {
                "Action": "sts:AssumeRole",
                "Effect": "Allow",
                "Principal": {
                    "Service": [
                        "cr.aliyuncs.com"
                    ]
                }
            }
        ],
        "Version": "1"
    }