问题描述

使用阿里云账号登录云防火墙控制台,控制台界面上展示当前账号无法开启云防火墙

主要原因

有以下两个原因会导致此问题:
  • 当前账号为阿里云账号(主账号)且已被其他阿里云账号添加为成员账号进行统一管理。
  • 当前账号为RAM用户(子账号)且未完成授权。

解决方法

您可以将光标移至控制台界面右上角登录账号头像处,查看账号ID

  • 如果账号ID是以1开头的一串数字,表示该账号为阿里云账号(主账号)。请您使用统一管理该账号的阿里云账号登录云防火墙控制台,您登录成功后可以为该账号下的云资产开启防护。
  • 如果账号ID是以2开头的一串数字,表示该账号为RAM用户(子账号)。您需要对该账号进行授权操作:
    1. 登录RAM控制台。相关信息,请参见RAM用户登录阿里云控制台
    2. 在左侧导航栏,选择身份管理 > 用户
    3. 用户页面,单击目标RAM用户操作添加权限
    4. 添加权限页面,选中createSlrAliyunYundunCloudFirewallReadOnlyAccessAliyunYundunCloudFirewallFullAccess
      注意 createSlr是自定义权限策略。相关信息,请参见创建权限策略
    5. 单击确认,完成授权操作。

创建权限策略

  • 登录RAM控制台
  • 在左侧导航栏,选择权限管理 > 权限策略
  • 权限策略页面,单击创建权限策略
  • 创建权限策略页面,单击脚本编辑
  • 脚本编辑页面,名称输入createSlr,完成脚本编辑。
    具体的脚本如下:
    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:166032244439****:role/*",
            "Effect": "Deny",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "cloudfw.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}
    注意 Resource参数的格式为acs:ram:*:阿里云账号(主账号)的UID:role/*。阿里云账号(主账号)的UID表示RAM用户(子账号)所属主账号的UID。
  • 单击确认,完成安全验证。