通过RAM角色实现跨云账号授权

使用示例

使用控制台的操作步骤

步骤一：阿里云账号A创建RAM角色

使用阿里云账号A创建一个RAM角色，并为RAM角色授予适当的权限，允许阿里云账号B使用该角色，即其他云账号选择阿里云账号B。

1. 使用阿里云账号A登录RAM控制台。
2. 在左侧导航栏，选择身份管理 > 角色。
3. 在角色页面，单击创建角色。
4. 在创建角色面板，选择可信实体类型为阿里云账号，然后单击下一步。
5. 设置角色信息。
   1. 输入角色名称。
   2. 可选：输入备注。
   3. 选择其他云账号为账号B的账号ID。
      说明 您可以访问安全设置页面查看阿里云账号ID。
6. 单击完成。
7. 单击关闭。
8. 阿里云账号A为刚才创建的RAM角色添加AliyunFCReadOnlyAccess权限。关于如何为RAM角色授权，请参见为RAM角色授权。

步骤二：阿里云账号B创建RAM用户

1. 使用阿里云账号B为其员工创建RAM用户。关于如何创建RAM用户，请参见创建RAM用户。
2. 阿里云账号B为创建好的RAM用户添加AliyunSTSAssumeRoleAccess权限，即允许RAM用户扮演RAM角色。关于如何为RAM用户添加权限，请参见为RAM用户授权。

步骤三：切换身份登录

当阿里云账号B下的某个员工（RAM用户）需要访问阿里云账号A下的资源时，阿里云账号B可以自主进行授权控制。即阿里云账号B下的RAM用户扮演阿里云账号A下的RAM角色访问阿里云账号A下的资源。具体操作如下：

1. 使用阿里云账号B的RAM用户登录RAM控制台。
   关于RAM用户登录控制台的详细信息，请参见RAM用户登录阿里云控制台。
2. 将鼠标悬停在右上角头像的位置，单击切换身份。
   1. 输入RAM角色对应的企业别名（账号别名）、默认域名或归属的阿里云账号（主账号）ID，三者取其一即可。更多信息，请参见查看和修改默认域名。
   2. 输入RAM角色名称。更多信息，请参见查看RAM角色基本信息。
   更多信息，请参见使用RAM角色。

（可选）撤消授权

如果企业A与企业B的合作终止了，企业A只需要撤销阿里云账号B对RAM角色的使用即可。此时阿里云账号B下的所有RAM用户对RAM角色的使用权限将被自动撤销。具体操作如下：

1. 阿里云账号A登录RAM控制台。
2. 在左侧导航栏，选择身份管理 > 用户。
3. 在用户页面，单击目标RAM用户操作列的删除。
4. 在删除用户对话框，仔细阅读删除影响，然后单击我已知晓风险，确认删除。

使用SDK的操作步骤

函数计算可以通过STS进行临时授权访问。STS是为云计算使用者提供临时访问令牌的Web服务。以下示例展示，阿里云账号B如何获取查看阿里云账号A下所有服务的权限。

前提条件

操作步骤

1. 使用阿里云账号A创建RAM角色，并选择信任的云账号为阿里云账号B。
   具体操作，请参见创建可信实体为阿里云账号的RAM角色。
2. 使用阿里云账号B创建RAM用户，并为其授予扮演RAM角色的权限。
   具体操作，请参见创建RAM用户和为RAM用户授权。
3. 在阿里云账号B的函数中，输入以下示例代码，获取临时访问凭证。更多信息，请参见STS SDK概览和AssumeRole。
   Node.js

   const Core = require('@alicloud/pop-core');
    
    //构建一个阿里云客户端, 用于发起请求。
    //设置调用者的AccessKey ID和AccessKey Secret。
    var client = new Core({
      accessKeyId: '<accessKeyId>',
      accessKeySecret: '<accessSecret>',
      endpoint: 'https://sts.aliyuncs.com',
      apiVersion: '2015-04-01'
    });
    
    //设置参数。
    var params = {
      "RegionId": "cn-hangzhou",
      "RoleArn": "<RoleARN>",
      "RoleSessionName": "<RoleSessionName>"
    }
    
    var requestOption = {
      method: 'POST'
    };
    
    //发起请求，并得到响应。
    client.request('AssumeRole', params, requestOption).then((result) => {
      console.log(JSON.stringify(result));
    }, (ex) => {
      console.log(ex);
    })    

   Python

   # coding=utf-8
   # encoding: utf-8
   import json
   from aliyunsdkcore import client as AliyunSDK
   from aliyunsdksts.request.v20150401 import AssumeRoleRequest
   
   #设置调用者的AccessKey ID和AccessKey Secret。
   def main():    
       AccessKeySecret='<accessSecret>'
       AccessKeyId='<accessKeyId>'
       regionId ='cn-hangzhou'
   
       sts_client = AliyunSDK.AcsClient(
               AccessKeyId,
               AccessKeySecret,
               regionId)
       request = AssumeRoleRequest.AssumeRoleRequest()
       request.set_RoleArn("<RoleARN>")
       request.set_RoleSessionName('fc-python-sdk')
       response = sts_client.do_action_with_exception(request)
       response_json = json.loads(response)
       result = json.dumps(response_json['Credentials'])
       print(result)
   
   if __name__ == "__main__":
       main()

   预期输出。

   {
     "RequestId": "964E0EC5-575B-4FF5-8FD0-D4BD8025602A",
     "AssumedRoleUser": {
       "Arn": "acs:ram::****:role/wss/wss",
       "AssumedRoleId": "***********:wss"
     },
     "Credentials": {
       "SecurityToken": "*************",
       "AccessKeyId": "STS.*************",
       "AccessKeySecret": "*************",
       "Expiration": "2021-05-28T11:23:19Z"
     }
   }

   说明 获取SecurityToken时，可能遇到的常见问题，请参见RAM角色和STS Token常见问题。
4. 修改阿里云账号B的函数代码，使其RAM用户具有查看阿里云账号A下函数计算的所有服务的权限。
   示例如下：

   const FC = require('@alicloud/fc2');
   // 构建客户端。
   // 设置密钥信息为获取的临时密钥信息。
   const client = new FC(<accountID>, {
       region: <yourRegionID>,
       accessKeyID: <yourAccessKeyID>,
       securityToken: <yourSecurityToken>,
       accessKeySecret: <yourAccessKeySecret>
   });
   // 获取服务列表。
   client.listServices().then(res => {
       console.log(JSON.stringify(res, null, ' '))
   }).catch(ex=> console.log(ex))

   注意 请确保临时密钥的授权角色，即阿里云账号A创建的角色具有获取服务列表的权限。