使用企业A的阿里云账号(主账号)创建RAM角色并为该角色授权,并将该角色赋予企业B,即可实现使用企业B的主账号或其RAM用户(子账号)访问企业A的阿里云资源的目的。
背景信息
假设企业A购买了多种云资源来开展业务,并需要授权企业B代为开展部分业务,则可以利用RAM角色来实现此目的。RAM角色是一种虚拟用户,没有确定的身份认证密钥,需要被一个受信的实体用户扮演才能正常使用。为了满足企业A的需求,可以按照以下流程操作:
- 企业A创建RAM角色
- 企业A为该RAM角色添加AliyunEDASFullAccess权限
- 企业B创建RAM用户
- 企业B为RAM用户添加AliyunSTSAssumeRoleAccess权限
- 企业B的RAM用户通过控制台或API访问企业A的资源
可以为RAM角色添加的EDAS系统权限策略包括:AliyunEDASFullAccess,EDAS的完整权限。
说明
- 被访问的角色需要具有AliyunEDASFullAccess权限。
- RAM子用户只能扮演非自己主账户的角色,即子账户不能扮演子账户所在的主账户下的角色,只能扮演其它主账户下的拥用AliyunEDASFullAccess权限的角色。用户在自己扮演自己主账户角色的情况下将无法访问EDAS,请退出角色登录再访问EDAS。
- 子账户扮演具有AliyunEDASFullAccess权限的角色成功后,即拥有所扮演主账号的所有EDAS权限。
步骤一:企业A创建RAM角色
首先需要使用企业A的阿里云账号(主账号)登录RAM控制台并创建RAM角色。
步骤二:企业A为该RAM角色添加权限
新创建的角色没有任何权限,因此企业A必须为该角色添加权限。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在角色页面,单击目标RAM角色操作列的添加权限。
- 在添加权限面板,为RAM角色添加权限。
- 在选择权限区域中单击自定义策略,通过关键字搜索需要添加的权限策略,并单击权限策略将其添加至右侧的已选择列表中,然后单击确定。
- 在添加权限的下一页,查看授权信息摘要,并单击完成。
步骤三:企业B创建RAM用户
接下来要使用企业B的阿里云账号(主账号)登录RAM控制台并创建RAM用户。
步骤四:企业B为RAM用户添加权限
企业B必须为其主账号下的RAM用户添加AliyunSTSAssumeRoleAccess权限,RAM用户才能扮演企业A创建的RAM角色。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在用户页面,单击目标RAM用户操作列的添加权限。
- 在添加权限面板设置授权范围,在选择权限区域中通过关键字搜索AliyunSTSAssumeRoleAccess权限策略 ,并单击该权限策略将其添加至右侧的已选择列表中,然后单击确定。
- 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。
后续步骤
完成上述操作后,企业B的RAM用户即可按照以下步骤登录控制台访问企业A的云资源或调用API。
- 登录控制台访问企业A的云资源
- 在浏览器中打开RAM用户登录入口。
- 在RAM用户登录页面上,输入RAM用户登录名称,单击下一步,并输入RAM用户密码,然后单击登录。
说明 RAM用户登录名称的格式为 <子用户名称>@<默认域名>,或<子用户名称>@<企业别名>,例如username@company-alias.onaliyun.com或username@company-alias。
- 在控制台页面上,将光标移到右上角头像,并在浮层中单击切换身份。
- 在阿里云-角色切换页面,输入企业A的企业别名或默认域名或UID,以及角色名,然后单击切换。
- 对企业A的阿里云资源执行操作。
- 使用企业B的RAM用户通过API访问企业A的云资源
要使用企业B的RAM用户通过API访问企业A的云资源,必须在代码中提供RAM用户的AccessKey ID、AccessKey Secret和Security Token(临时安全令牌)。