授权应用软件(SaaS)访问和使用您的阿里云资源

更新时间:

您在云市场订购的应用软件(SaaS)可以申请您的授权以创建跨账号角色,服务商扮演角色以访问和使用您的阿里云资源,在您使用应用软件(SaaS)时集成阿里云产品能力,如集成阿里云的云通信能力提供语音呼叫和短信发送能力。

跨账号角色授权和使用原理

当您同意跨账号角色授权时,云市场会根据服务商申请的权限策略,在您的阿里云账号下创建RAM角色以及关联的权限策略。该角色信任策略的可信实体会被设置为服务商的阿里云账号,表示可以接受服务商阿里云账号下的RAM用户进行角色扮演。

在您授权后,服务商可以通过STS AssumeRole扮演您的角色获取临时身份凭证(STS Token),根据角色对应权限访问和使用您的阿里云资源。

跨账号角色授权路径

从已购买服务实例列表进入授权页授权

从云市场订购应用软件(SaaS)后进入云市场已购买服务列表,如该产品申请了跨账号角色授权,可通过服务列表中的去授权链接进入授权页查看授权详情。

image

通过授权链接进入授权页授权

在使用应用软件(SaaS)时,软件可按需申请跨账号角色授权,通过点击软件提示的授权链接进入授权页。授权时需要使用您订购该SaaS的阿里云账号登录。后续服务商可以使用授予的权限访问和使用您该账号下的阿里云资源。

跨账号角色授权操作

进入授权页后您可以查看申请权限的服务商信息以及所申请的跨账号角色名称、描述、具体的权限策略。您可以进入服务商权限说明页面查看更详细的权限说明。如您点击同意授权,服务商可通过上述权限以角色身份访问被授权的资源,请您务必谨慎核实授权事项后再进行操作。

image

您可以点击权限策略链接详细查看权限策略,点击编辑权限策略可以对权限策略进行自定义修改,如增加授权资源范围限制实现最小范围授权。可参考权限策略的语法结构

image

点击同意授权时,您需要输入服务商UID的后六位以校验被授权的服务商身份。您可以在服务商权限说明页面中查看服务商UID信息并填入。

image

注意事项

  1. 授权权限不会因为云市场产品到期而自动终止,如您需要修改或终止授权,请及时进入RAM控制台进行操作。

  2. 操作跨账号角色授权需使用阿里云主账号或授权了RAM访问控制GetRole、GetPolicy、CreatePolicy、CreatePolicyVersion、CreateRole、UpdateRole、AttachPolicyToRole权限的子账号。