云连接网授权

云连接网CCN(Cloud Connect Network)实例被连接到转发路由器实例后,云连接网实例关联的本地网络可以通过转发路由器实例访问PrivateZone服务,在本地网络访问PrivateZone服务前,您需要为云连接网实例授权。本文介绍在不同场景下如何为云连接网实例授权。

场景一:所有实例的账号相同

云连接网-场景一-架构图

如上图所示,云连接网实例、部署了PrivateZone服务的专有网络VPC(Virtual Private Cloud)实例和转发路由器实例属于同一个阿里云账号。在此场景下,您可以在云企业网管理控制台直接对云连接网实例授权。各个实例所属账号ID如下表所示。

资源

资源所属账号ID

转发路由器实例

253460731706911258

专有网络实例

253460731706911258

云连接网实例

253460731706911258

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
  3. 基本信息 > 转发路由器页签,根据PrivateZone服务关联的专有网络实例的地域,单击该地域的转发路由器实例ID。

  4. 在转发路由器实例详情页面,单击Private Zone页签,然后单击点击授权。在云资源访问授权页面,单击同意授权

    云连接网授权

    说明

    只有在第一次设置访问PrivateZone服务时需要对智能接入网关进行授权。授权完成后,连接到转发路由器实例的云连接网(智能接入网关的组成部分)实例即被允许访问PrivateZone服务。

    授权后,系统会为当前账号自动添加一个名称为AliyunSmartAGAccessingPVTZRole的RAM角色。您可以在访问控制管理控制台身份管理 > 角色页面,搜索角色并查看角色信息。查看AliyunSmartAGAccessingPVTZRole角色

场景二:云连接网实例的账号不同

云连接网授权-场景二-架构图

如上图所示,转发路由器实例和部署了PrivateZone服务的专有网络实例属于同一个阿里云账号,云连接网实例属于另一个阿里云账号。在此场景下,需要修改专有网络实例所属账号的授权策略。各个实例所属账号ID如下表所示。

资源

资源所属账号ID

转发路由器实例

253460731706911258

专有网络实例

253460731706911258

云连接网实例

271598332402530847

  1. 在专有网络实例所属账号中操作授权,允许同账号的云连接网实例访问PrivateZone服务。

    1. 使用专有网络实例所属账号登录云企业网管理控制台

    2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。

    3. 基本信息 > 转发路由器页签,根据PrivateZone服务关联的专有网络实例的地域,单击该地域的转发路由器实例ID。

    4. 在转发路由器实例详情页面,单击Private Zone页签,然后单击点击授权。在云资源访问授权页面,单击同意授权

      说明

      只有在第一次设置访问PrivateZone服务时需要对智能接入网关进行授权。授权完成后,连接到转发路由器实例的云连接网(智能接入网关的组成部分)实例即被允许访问PrivateZone服务。

  2. 修改专有网络实例所属账号下AliyunSmartAGAccessingPVTZRole角色的信任策略,允许跨账号的云连接网实例访问PrivateZone服务。

    1. 使用专有网络实例所属账号登录访问控制管理控制台

    2. 在左侧导航栏,选择身份管理 > 角色

    3. 角色页面的搜索框内输入AliyunSmartAGAccessingPVTZRole,搜索该角色,然后单击角色名称。

    4. 在角色详情页面,单击信任策略页签,然后单击编辑信任策略

    5. Service中添加一条记录:"云连接网实例所属阿里云账号ID@smartag.aliyuncs.com",然后单击保存信任策略

      云连接网授权-场景二

场景三:转发路由器实例的账号不同

云连接网授权-场景三-架构图

如上图所示,云连接网实例和部署了PrivateZone服务的专有网络实例属于同一个阿里云账号,转发路由器实例属于另一个阿里云账号。在此种场景下,需要在专有网络实例所属的账号中创建授权策略。各个实例所属账号ID如下表所示。

资源

所属账号ID

转发路由器实例

271598332402530847

专有网络实例

253460731706911258

云连接网实例

253460731706911258

  1. 使用专有网络实例所属账号登录访问控制管理控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击创建角色

  4. 创建角色面板,根据以下信息创建角色。

    1. 选择类型向导面板,选择阿里云服务,然后单击下一步

    2. 配置角色向导面板,配置以下信息,然后单击完成

      PVZ授权场景三图片

      • 角色类型:选择普通服务角色

      • 角色名称:输入AliyunSmartAGAccessingPVTZRole

      • 选择授信服务:选择智能接入网关

      更多信息,请参见创建可信实体为阿里云服务的RAM角色

    3. 创建角色面板,单击关闭,回到角色页面。

  5. 角色页面,通过搜索框搜索新建的AliyunSmartAGAccessingPVTZRole角色,然后单击角色名称。

  6. 权限管理页签,单击新增授权,进入新增授权面板。

  7. 系统策略下的搜索框中输入pvtz关键字,找到AliyunPvtzReadOnlyAccess权限策略,然后单击权限策略名称,添加只读访问PrivateZone服务的权限,然后单击确定

    添加只读访问PrivateZone服务的权限

  8. 新增授权面板,单击完成,回到角色详情页面。

  9. 在角色详情页面,单击信任策略页签,查看授权信息。

    场景三:查看信任策略

场景四:所有实例的账号均不相同

云连接网授权-场景四-架构图

如上图所示,云连接网实例、部署了PrivateZone服务的专有网络实例、转发路由器实例的账号都不相同。在此场景下,需要完成两个授权任务。 各个实例所属账号ID如下表所示。

资源

所属账号ID

转发路由器实例

253460731706911258

专有网络实例

283117732402483989

云连接网实例

271598332402530847

  1. 参见场景三的方法,在专有网络实例所属的账号中创建一个角色并完成授权。

  2. 参见场景二的方法,在专有网络实例所属的账号中添加对云连接网实例的授权。

如果有多个云连接网实例且云连接网实所属的阿里云账号都不相同,您只需要将所有要访问PrivateZone服务的云连接网实例添加到授权策略中即可,如下图所示。

资源

所属账号ID

转发路由器实例

253460731706911258

专有网络实例

283117732402483989

云连接网实例一

271598332402530847

云连接网实例二

244831332402557259

云连接网实例三

287683832402436789

云连接网授权-场景四

后续步骤

访问PrivateZone服务