本文介绍了如何在控制台创建、授权实例RAM角色,并将其授予ECS实例。

前提条件

  • 您已经开通RAM服务。参见RAM文档开通方法
  • 待授予实例RAM角色的ECS实例网络类型必须是专有网络VPC。
  • 如果您是通过RAM用户操作本文示例,您需要通过云账号授权RAM用户允许使用实例RAM角色。详细步骤请参见授权RAM用户使用实例RAM角色

背景信息

  • 一台ECS实例一次只能授予一个实例RAM角色。
  • 当您给ECS实例授予了实例RAM角色后,并希望在ECS实例内部部署的应用程序中访问云产品的API时,您需要通过实例元数据获取实例RAM角色的临时授权Token。详细步骤请参见获取临时授权Token

操作步骤

本文示例使用云账号在RAM控制台创建一个实例RAM角色,并将其授予ECS实例:
  1. 步骤一:创建实例RAM角色
  2. 步骤二:为RAM角色授予权限
  3. 步骤三:为实例授予RAM角色

步骤一:创建实例RAM角色

按以下步骤在访问控制RAM控制台创建一个实例RAM角色:

  1. 云账号登录RAM控制台
  2. 在左侧导航栏,单击RAM角色管理
  3. 单击创建RAM角色
  4. 当前可信实体类型选择为阿里云服务,单击下一步
    阿里云服务用于授权ECS实例访问或管理您的云资源。RAM角色选择阿里云服务类型后,支持授予给ECS实例。选择云服务
    说明
    如果您的RAM角色选择阿里云账号等类型,创建结束后需要在RAM角色的信任策略管理页签,单击修改信任策略手动添加以下ECS服务授权策略。
    "Service": [
	"ecs.aliyuncs.com"
]
  5. 选择角色类型为普通服务角色
  6. 输入角色名称备注
  7. 选择受信服务为云服务器
  8. 单击完成
配置完成后,在RAM角色的信任策略管理页签中,确认是否包含以下ECS服务授权策略。ecs服务

步骤二:为RAM角色授予权限

按以下步骤在访问控制RAM控制台授权实例RAM角色一个系统权限或者自定义权限:

  1. 云账号登录RAM控制台
  2. (可选)如果您不使用系统权限,可以参见账号访问控制创建自定义权限策略章节创建一个自定义策略。
  3. 在左侧导航栏,单击RAM角色管理
  4. RAM角色名称列表下,单击目标RAM角色名称。
  5. 权限管理页签下,单击精确授权
  6. 选择权限类型为系统策略自定义策略
  7. 输入策略名称。
  8. 单击确定
  9. 单击关闭

步骤三:为实例授予RAM角色

按以下步骤在ECS控制台为一台ECS实例授予实例RAM角色:

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例与镜像 > 实例
  3. 在顶部菜单栏左上角处,选择地域。
  4. 找到要操作的ECS实例,选择更多 > 实例设置 > 授予/收回RAM角色
  5. 在弹窗中,选择创建好的实例RAM角色,单击确定完成授予。
以下示例演示了如何授予实例RAM角色。授予实例RAM角色

您也可以在创建ECS实例时,并在系统配置页面的RAM角色属性中为实例选择已创建好的实例RAM角色。更多详情请参见使用向导创建实例