在SaaS加速计划中创建跨账号角色模板操作指引
本文介绍在SaaS加速计划中创建跨账号服务角色模板的操作步骤。
方案背景
阿里云服务商的SaaS产品可以通过集成和使用用户侧的阿里云资源,在需要使用用户侧资源的场景中为用户提供相应服务。如双方协定SaaS产品需要需调用用户侧购买的阿里云的短信发送能力时,原先可以通过以下两种方式实现。
用户创建RAM子账号,配置所需的权限策略,提供子账号的AccessKey和SecretKey给服务商,服务商通过AccessKey和SecretKey以用户身份调用阿里云OpenAPI。这种方式存在数据安全问题,提供的AccessKey和SecretKey难以管理,存在泄露风险。
用户创建RAM角色,在信任策略中授权给服务商的阿里云账号,配置所需的权限策略。服务商使用自己的阿里云账号通过STS AssumeRole扮演用户的RAM角色以用户身份调用阿里云OpenAPI。这种方式需要用户理解RAM权限体系及语法,并操作5-7步,操作路径过长,导致技术能力欠佳的用户使用成本过高。
云市场通过SaaS加速器集成了RAM跨账号角色授权的能力,支持服务商的SaaS产品快捷获取用户授权以访问用户云资源。对用户来说,这种授权方式也更加安全。
服务商侧使用该方案的通用路径
通过SaaS加速器设置跨账号角色授权指引
创建SaaS加速计划时将使用跨账号角色授权作为一个计划项
在SaaS加速器中,可以创建SaaS加速计划。在商业加速中,勾选使用跨账号角色授权。
进入到SaaS计划管理页,选中相关的计划,并点击完成计划去完成SaaS加速计划
进入点击新增跨账号角色,并进行跨账号角色的配置
跨账号角色的配置内容需要先准备以下几项:
根据应用软件(SaaS)所需权限,在RAM控制台创建并测试好权限策略。如果需要最小粒度授权,可以准备多个权限策略以创建多个跨账号角色模板。
开发一个无需登录可访问的授权说明页面,向用户介绍应用软件(SaaS)所需权限和目的。在授权说明页还需要给出服务商阿里云UID,用于用户在授权时填入并核验。具体页面规范参考服务商授权说明页规范。用户授权时会提示用户前往服务商权限说明页面查看服务商UID并输入。
具体的跨账号角色配置的内容包括以下几项,分别为:
跨账号角色名称:该角色名称填入框内请用大写字符,用户授权后,会写入用户的RAM控制台
跨账号角色描述:请注明什么原因需要进行授权,比如获取短信调用权限
授权主体:只可以授权给一个账号,该授权主体不可更改
已测试的策略名
授权策略内容:该部分内容取自RAM控制台已经设置好的权限
查看已创建的跨账号角色模板,复制授权链接
点击复制角色模板的授权链接,引导用户使用该链接进行授权操作。
根据需要可增加参数以实现授权成功后回调、指定授权云账号等功能,参考跨账号角色授权链接规范。
提交完成SaaS加速计划
点击提交完成SaaS加速计划创建
- 本页导读 (0)