全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
云服务器 ECS

通过 API 使用实例 RAM 角色

更新时间:2017-11-13 17:59:36

使用限制

使用实例 RAM 角色存在如下限制:

  • 只有专有网络 (VPC) 网络类型的 ECS 实例才能使用实例 RAM 角色。
  • 一个 ECS 实例一次只能授予一个实例 RAM 角色。
  • 当您给 ECS 实例授予了实例 RAM 角色后,并希望在 ECS 实例内部部署的应用程序中访问云产品的 API 时,您需要通过 Metadata 获取实例 RAM 角色的临时授权 Token。参阅 获取临时授权 Token
  • 如果您是通过 RAM 用户子账号使用实例 RAM 角色,您需要通过云账号 授权 RAM 用户使用实例 RAM 角色

前提条件

您已经开通 RAM 服务,参阅 RAM 文档 开通方法 开通 RAM 服务。

使用说明

1. 创建实例 RAM 角色

  1. 调用接口 CreateRole 创建实例 RAM 角色。
  2. 设置 RoleName 参数,如将其值置为 EcsRamRoleDocumentTesting。
  3. 按如下策略设置 AssumeRolePolicyDocument
    1. {
    2. "Statement": [
    3. {
    4. "Action": "sts:AssumeRole",
    5. "Effect": "Allow",
    6. "Principal": {
    7. "Service": [
    8. "ecs.aliyuncs.com"
    9. ]
    10. }
    11. }
    12. ],
    13. "Version": "1"
    14. }

2. 授权实例 RAM 角色

  1. 调用接口 CreatePolicy 新建授权策略。
  2. 设置 RoleName 参数,如将其值置为 EcsRamRoleDocumentTestingPolicy。
  3. 按如下策略设置 PolicyDocument
    1. {
    2. "Statement": [
    3. {
    4. "Action": [
    5. "oss:Get*",
    6. "oss:List*"
    7. ],
    8. "Effect": "Allow",
    9. "Resource": "*"
    10. }
    11. ],
    12. "Version": "1"
    13. }
  4. 调用接口 AttachPolicyToRole 授权角色策略。
  5. 设置 PolicyType 参数为 Custom。
  6. 设置 PolicyName 参数,如 EcsRamRoleDocumentTestingPolicy。
  7. 设置 RoleName 参数,如 EcsRamRoleDocumentTesting。

3. 授予实例 RAM 角色

  1. 调用接口 AttachInstanceRamRole 为实例授予 RAM 角色。
  2. 设置 RegionIdInstanceIds 参数指定一个 ECS 实例。
  3. 设置 RamRoleName 参数,如 EcsRamRoleDocumentTesting。

4. (可选)收回实例 RAM 角色

  1. 调用接口 DetachInstanceRamRole 收回实例 RAM 角色。
  2. 设置 RegionIdInstanceIds 参数指定一个 ECS 实例。
  3. 设置 RamRoleName 参数,如 EcsRamRoleDocumentTesting。

5. (可选)获取临时授权 Token

您可以获得实例 RAM 角色的临时授权 Token,该临时授权 Token 可以执行实例 RAM 角色的权限和资源,并且该临时授权 Token 会自动周期性地更新。示例:

  1. 检索名为 EcsRamRoleDocumentTesting 的实例 RAM 角色的临时授权 Token:
    • Linux 实例: 执行命令 curl http://100.100.100.200/latest/meta-data/Ram/security-credentials/EcsRamRoleDocumentTesting
    • Windows 实例:参阅文档 实例元数据
  2. 获得临时授权 Token。返回示例如下:

    1. {
    2. "AccessKeyId" : "XXXXXXXXX",
    3. "AccessKeySecret" : "XXXXXXXXX",
    4. "Expiration" : "2017-11-01T05:20:01Z",
    5. "SecurityToken" : "XXXXXXXXX",
    6. "LastUpdated" : "2017-10-31T23:20:01Z",
    7. "Code" : "Success"
    8. }

6. (可选)授权 RAM 用户使用实例 RAM 角色

注意:当您授权 RAM 用户使用实例 RAM 角色时,您必须授权 RAM 用户对该实例 RAM 角色的 PassRole 权限。其中,PassRole 决定该 RAM 用户能否直接执行角色策略赋予的权限。

登录 RAM 控制台,参阅文档 给 RAM 用户授权 完成授权,如下所示:

  1. {
  2. "Version": "2016-10-17",
  3. "Statement": [
  4. {
  5. "Effect": "Allow",
  6. "Action": [
  7. "ecs: [ECS RAM Action]",
  8. "ecs: CreateInstance",
  9. "ecs: AttachInstanceRamRole",
  10. "ecs: DetachInstanceRAMRole"
  11. ],
  12. "Resource": "*"
  13. },
  14. {
  15. "Effect": "Allow",
  16. "Action": "ram:PassRole",
  17. "Resource": "*"
  18. }
  19. ]
  20. }

其中,[ECS RAM Action] 表示可授权 RAM 用户的权限,请参阅文档 RAM 中可对 ECS 实例进行授权的 Action

参考链接

本文导读目录