若您需要容器镜像服务ACR能够通过自定义域名访问和管理SSL证书,您可以通过为该账号添加RAM角色,并为该RAM角色授权对阿里云SSL证书操作权限的方式,来实现安全的自定义域名访问。
步骤一:创建RAM角色
容器镜像服务访问自定义域名时,需要为阿里云账号创建名为AliyunContainerRegistryCustomizedDomainRole的角色。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在角色页面,单击创建角色。
在创建角色页面,选择信任主体类型为云账号,然后设置具体的阿里云账号,最后单击确定。
当前云账号:当您允许当前阿里云账号下的所有RAM用户和RAM角色扮演当前正在创建的RAM角色时,您可以选择当前云账号。
其他云账号:当您允许其他阿里云账号下的所有RAM用户和RAM角色扮演当前正在创建的RAM角色时,您可以选择其他云账号,然后输入其他阿里云账号(主账号)ID。该项主要针对跨阿里云账号的资源授权访问场景,相关教程,请参见跨阿里云账号的资源授权。您可以在安全设置页面查看阿里云账号(主账号)ID。
设置角色名称为AliyunContainerRegistryCustomizedDomainRole,输入备注,选择信任的云账号为当前云账号。单击完成。
说明若选择其他云账号,需要填写其他云账号的ID。
步骤二:配置RAM角色的权限策略
配置RAM角色的权限策略,使其拥有对阿里云SSL证书资源读取的权限。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在角色页面,单击AliyunContainerRegistryCustomizedDomainRole操作列的新增授权。
在新增授权面板,选择资源范围为账号级别,然后在权限策略搜索框中搜索AliyunYundunCertReadOnlyAccess,并对其勾选。
说明在右侧区域框,选择某条策略并单击×,可撤销该策略。
单击确认新增授权。
单击关闭。
步骤三:配置RAM角色的信任策略
为该RAM角色的信任策略中添加容器镜像服务,使容器镜像服务可以访问阿里云SSL证书。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在角色页面,单击角色名称列下的AliyunContainerRegistryCustomizedDomainRole。
在信任策略页签,单击编辑信任策略。
拷贝以下内容到文本框中,然后单击保存信任策略。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "cr.aliyuncs.com" ] } } ], "Version": "1" }