配置ECS实例RAM角色

更新时间: 2023-08-24 10:36:54

实例RAM角色是RAM角色的一种,它让ECS实例扮演具有某些权限的角色,ECS实例可以使用该角色的临时访问凭证来访问指定的阿里云服务,例如OSS、RDS等,实现ECS实例与其他阿里云服务之间的安全通信。本文介绍了如何配置和使用ECS实例RAM角色。

前提条件

  • 目标ECS实例的网络类型为专有网络VPC。

  • 若您的账户为RAM用户(子账号),请先联系阿里云账号(主账号)获取配置实例RAM角色的权限。具体操作,请参见授权RAM用户使用实例RAM角色

授予实例RAM角色

说明

一台ECS实例一次只能授予一个实例RAM角色。

通过控制台授予

  1. 登录RAM控制台,创建实例RAM角色并为其授权。

    1. 创建RAM角色

      选择身份管理 > 角色,单击创建角色,按照界面提示完成角色创建。注意以下参数(其他参数按需填写):

      • 可信实体类型:选择阿里云服务

      • 角色类型:选择普通服务角色

      • 受信服务:选择云服务器

    2. 为RAM角色授权

  2. 授予ECS实例RAM角色。

    1. 登录ECS管理控制台

    2. 在左侧导航栏,选择实例与镜像 > 实例

    3. 在页面左侧顶部,选择目标资源所在的地域。地域

    4. 找到要操作的ECS实例,选择图标 > 实例设置 > 授予/收回RAM角色

    5. 在对话框中,选择创建好的实例RAM角色,单击确定完成授予。

通过API授予

  1. 创建并配置实例RAM角色

    1. 调用CreateRole接口创建实例RAM角色。

      按如下策略设置参数AssumeRolePolicyDocument

      {
           "Statement": [
           {
               "Action": "sts:AssumeRole",
               "Effect": "Allow",
               "Principal": {
               "Service": [
               "ecs.aliyuncs.com"
               ]
               }
           }
           ],
           "Version": "1"
       }
    2. (可选)调用CreatePolicy接口新建权限策略。

      如果您已有可用权限策略,可跳过该步骤。

      PolicyDocument(权限策略)需按如下设置:

      {
           "Statement": [
               {
               "Action": [
                   "oss:Get*",
                   "oss:List*"
               ],
               "Effect": "Allow",
               "Resource": "*"
               }
           ],
           "Version": "1"
       }
    3. 调用AttachPolicyToRole接口为实例RAM角色授权。

  2. 调用AttachInstanceRamRole接口将实例RAM角色授予给ECS实例。

收回/更改实例RAM角色

通过控制台收回/更改

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 在页面左侧顶部,选择目标资源所在的地域。地域

  4. 找到要操作的ECS实例,选择图标 > 实例设置 > 授予/收回RAM角色

    • 收回实例RAM角色:操作类型选择收回,单击确定

    • 更改实例RAM角色:操作类型选择授予,选择所需的实例RAM角色,单击确定完成更改。

      image.png

通过API收回/更改

阿里云首页 云服务器 ECS 相关技术圈