本文介绍了如何在控制台创建、授权实例RAM角色,并将其授予ECS实例。

前提条件

  • 您已经开通RAM服务。更多信息,请参见开通方法
  • 待授予实例RAM角色的ECS实例网络类型必须是专有网络VPC。
  • 如果您是通过RAM用户操作本文示例,您需要通过云账号授权RAM用户允许使用实例RAM角色。具体操作,请参见授权RAM用户使用实例RAM角色

背景信息

  • 一台ECS实例一次只能授予一个实例RAM角色。
  • 当您给ECS实例授予了实例RAM角色后,并希望在ECS实例内部部署的应用程序中访问云产品的API时,您需要通过实例元数据获取实例RAM角色的临时授权Token。具体操作,请参见获取临时授权Token

操作步骤

本文示例使用云账号在RAM控制台创建一个实例RAM角色,并将其授予ECS实例:
  1. 步骤一:创建实例RAM角色
  2. 步骤二:为RAM角色授予权限
  3. 步骤三:为实例授予RAM角色

步骤一:创建实例RAM角色

按以下步骤在访问控制RAM控制台创建一个实例RAM角色:

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 角色页面,单击创建角色
  4. 创建角色面板,选择可信实体类型选择为阿里云服务,然后单击下一步
    阿里云服务用于授权ECS实例访问或管理您的云资源。RAM角色选择阿里云服务类型后,支持授予给ECS实例。创建RAM角色
    说明
    如果您的RAM角色选择阿里云账号等类型,创建结束后需要在RAM角色的信任策略管理页签,单击修改信任策略手动添加以下ECS服务授权策略。
    "Service": [
    "ecs.aliyuncs.com"
]
  5. 选择角色类型为普通服务角色
  6. 输入角色名称备注
  7. 选择受信服务为云服务器
  8. 单击完成
  9. 单击关闭
配置完成后,在RAM角色的信任策略管理页签中,确认是否包含以下ECS服务授权策略。ecs服务

步骤二:为RAM角色授予权限

按以下步骤在访问控制RAM控制台授权实例RAM角色一个系统权限或者自定义权限:

  1. 使用阿里云账号登录RAM控制台
  2. (可选)如果您不使用系统权限,可以参见账号访问控制创建自定义权限策略章节创建一个自定义策略。
  3. 在左侧导航栏,选择身份管理 > 角色
  4. 角色页面,单击目标RAM角色操作列的精确授权
  5. 添加权限面板,选择权限策略类型为系统策略自定义策略,然后输入权限策略名称。
    说明 您可以在左侧导航栏,选择权限管理 > 权限策略,在权限策略列表中查看目标权限策略名称。
  6. 单击确定
  7. 单击关闭

步骤三:为实例授予RAM角色

按以下步骤在ECS控制台为一台ECS实例授予实例RAM角色:

  1. 登录ECS管理控制台
  2. 在左侧导航栏,选择实例与镜像 > 实例
  3. 在顶部菜单栏左上角处,选择地域。
  4. 找到要操作的ECS实例,选择更多 > 实例设置 > 授予/收回RAM角色
  5. 在弹窗中,选择创建好的实例RAM角色,单击确定完成授予。

您也可以在创建ECS实例时,并在系统配置页面的实例RAM角色属性中为实例选择已创建好的实例RAM角色。更多信息,请参见使用向导创建实例