配置ECS实例RAM角色
实例RAM角色是RAM角色的一种,它让ECS实例扮演具有某些权限的角色,ECS实例可以使用该角色的临时访问凭证来访问指定的阿里云服务,例如OSS、RDS等,实现ECS实例与其他阿里云服务之间的安全通信。本文介绍了如何配置和使用ECS实例RAM角色。
前提条件
目标ECS实例的网络类型为专有网络VPC。
若您的账户为RAM用户(子账号),请先联系阿里云账号(主账号)获取配置实例RAM角色的权限。具体操作,请参见授权RAM用户使用实例RAM角色。
授予实例RAM角色
说明
一台ECS实例一次只能授予一个实例RAM角色。
通过控制台授予
通过API授予
创建并配置实例RAM角色
调用CreateRole接口创建实例RAM角色。
按如下策略设置参数AssumeRolePolicyDocument:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "ecs.aliyuncs.com" ] } } ], "Version": "1" }
(可选)调用CreatePolicy接口新建权限策略。
如果您已有可用权限策略,可跳过该步骤。
PolicyDocument
(权限策略)需按如下设置:{ "Statement": [ { "Action": [ "oss:Get*", "oss:List*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
调用AttachPolicyToRole接口为实例RAM角色授权。
调用AttachInstanceRamRole接口将实例RAM角色授予给ECS实例。
收回/更改实例RAM角色
通过控制台收回/更改
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的地域。
找到要操作的ECS实例,选择
。收回实例RAM角色:操作类型选择收回,单击确定。
更改实例RAM角色:操作类型选择授予,选择所需的实例RAM角色,单击确定完成更改。
通过API收回/更改
收回实例RAM角色:调用DetachInstanceRamRole接口收回实例RAM角色。
更改实例RAM角色:
调用DetachInstanceRamRole接口收回实例RAM角色。
调用AttachInstanceRamRole接口重新为实例授予新的RAM角色。