跨账号拉取阿里云镜像

步骤一：创建RAM角色

创建用户B的受信实体为阿里云账号类型的RAM角色。

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，选择身份管理 > 角色。
3. 在角色页面，单击创建角色。
4. 在创建角色面板，选择可信实体类型为阿里云账号，然后单击下一步。
5. 在配置角色页签，输入角色名称和备注，选择其他云账号并输入用户B的阿里云账号，然后单击完成。
   说明 您可以访问安全设置页面查看阿里云账号ID。
6. 单击关闭。

步骤二：为RAM角色授权

为步骤一创建的RAM角色，配置拉取用户B私有镜像的权限和信任策略。本步骤以在现有权限策略里添加镜像相关权限为例，如果您需要新建权限策略，请参见创建自定义权限策略。

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，选择权限管理 > 权限策略。
3. 在权限策略页面，单击目标权限策略名称。
4. 在策略内容页签，单击修改策略内容。
5. 通过可视化编辑或脚本编辑模式修改权限策略内容，然后单击下一步：编辑基本信息。
   注意 请确保该RAM角色有cr.*的相关权限。

   需要添加的相关权限如下。

   {
       "Version": "1",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "cr:GetAuthorizationToken",
                   "cr:ListInstanceEndpoint",
                   "cr:PullRepository",
                   "cr:GetRepository",
                   "cr:ListRepositoryTag"
               ],
               "Resource": "*"
           }
       ]
   }

6. 修改备注，然后单击确定。
7. 在左侧导航栏，选择身份管理 > 角色。
8. 在角色页面，单击目标RAM角色操作列的添加权限。
9. 在添加权限面板，按需添加权限，单击确定后单击完成。

步骤三：为RAM角色配置信任策略

在创建的用户B的RAM角色上配置信任策略，允许用户A账号对应的SAE服务账号进行角色扮演。

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，选择身份管理 > 角色。
3. 在角色页面，单击目标RAM角色名称。
4. 单击信任策略管理页签，然后单击修改信任策略。
5. 在修改信任策略面板，将Principal中的RAM字段修改为Service字段，单击确定。
   示例代码如下。

   修改前	修改后
   { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::123456789012****:root" ] } } ], "Version": "1" } 该RAM角色可以被阿里云账号（AccountID=123456789012****）下授权的任何RAM用户、RAM角色扮演。	{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "123456789012****@sae.aliyuncs.com" ] } } ], "Version": "1" } 该RAM角色可以被阿里云账号（AccountID=123456789012****）对应的SAE服务账号（123456789012****@sae.aliyuncs.com）扮演。 说明 本示例中的Service为待跨账号拉取镜像的服务。

步骤四：部署SAE应用