AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 应用身份服务 (IDaaS) EIAM 云身份服务 操作指南 资产管理 云身份管理

云身份管理

更新时间:
复制为 MD 格式
产品详情
我的收藏

企业使用多个阿里云账号时,常面临账号分散、权限管理复杂等挑战。云身份管理功能支持将阿里云账号及其 RAM 角色统一托管至 IDaaS,实现集中化的身份治理与访问控制。本文介绍如何托管云账号和云角色,完成云身份的统一管理配置。

适用范围

需购买企业版且开通 M2M 扩展能力。

添加云账号

登录IDaaS管理控制台,选择 IDaaS 实例并在操作列单击访问控制台

添加当前云账号

将当前登录的阿里云账号托管至 IDaaS。

  1. 添加云账号信息

    1. 进入资产管理 > 云身份 界面。

    2. 单击添加云账号

      1. 账号类型:选择当前账号。

      2. 应用身份服务授权:单击点击授权按钮,授予IDaaS调用RAM产品权限。

        说明

        如授权后应用身份服务授权状态未自动更新,可刷新页面后重新添加云账号。

      3. 身份提供商名称:即将创建的身份提供商名称。IDaaS 会在当前云账号的 RAM 中创建身份提供商,颁发者 URL 为https://<portal_address>/api/v2/iauths_system/oauth2<portal_address>IDaaS管理控制台中的用户门户列下查看)。需确认和 RAM 中已有身份提供商的名称和颁发者 URL 不存在冲突。查看 RAM 中已有身份提供商方法可参考管理OIDC身份提供商

    3. 单击下一步

  2. 配置云账号系统角色

    1. 参考界面提示,在目标云账号的 RAM 控制台完成以下配置:

      1. 创建权限策略。复制当前界面中的权限策略脚本,并在 RAM 控制台中创建策略。详细配置可参考创建自定义权限策略

      2. 新建角色。使用界面中提供的角色名创建 RAM 角色。详细配置可参考创建可信实体为身份提供商的RAM角色

      3. 授权角色权限。为 RAM 角色关联权限策略。详细配置可参考RAM角色授权

    2. 单击开始检测,IDaaS 开始检测相关配置,若提示错误,请检查并修改。

    3. 单击下一步,完成云账号添加。

配置完成后可在资产管理 > 云身份界面中查看当前添加的云账号,在目标云账号的操作列下单击云角色管理,可查看系统角色。

添加其他云账号

将非当前登录的阿里云账号托管至 IDaaS。

  1. 添加云账号信息

    1. 进入资产管理 > 云身份 界面。

    2. 单击添加云账号

      1. 账号类型:选择其他账号。

      2. 云账号类型:选择阿里云。

      3. 云账号UID:待添加云账号的主账号 ID。

      4. 身份提供商名称:即将创建的身份提供商名称。用户需根据引导在对应云账号 RAM 中创建。颁发者 URL 为https://<portal_address>/api/v2/iauths_system/oauth2<portal_address>IDaaS管理控制台中的用户门户列下查看)。需确认和 RAM 中已有身份提供商的名称和颁发者 URL 不存在冲突。查看 RAM 中已有身份提供商方法可参考管理OIDC身份提供商

    3. 单击下一步

  2. 配置云账号系统角色

    1. 参考界面提示,在目标云账号的 RAM 控制台完成以下配置:

      1. 配置身份提供商,将界面提示中的参数填入 RAM 对应配置项。详细配置可参考管理OIDC身份提供商

      2. 创建权限策略。复制当前界面中的权限策略脚本,并在 RAM 控制台中创建策略。详细配置可参考创建自定义权限策略

      3. 新建角色。使用界面中提供的角色名创建 RAM 角色。详细配置可参考创建可信实体为身份提供商的RAM角色

      4. 授权角色权限。为 RAM 角色关联权限策略。详细配置可参考RAM角色授权

    2. 单击开始检测,IDaaS 开始检测相关配置,若提示错误,请检查并修改。

    3. 单击下一步,完成云账号添加。

    说明

    如配置未完成但已退出上述界面,可在资产管理 > 云身份界面中找到添加的云账号,单击操作列中的云角色管理,依次单击详情配置系统角色,根据界面提示继续完成配置。

配置完成后可在资产管理 > 云身份界面中查看当前添加的云账号,在目标云账号的操作列下单击云角色管理,可查看系统角色。

添加云角色

将目标云账号下的云角色托管到 IDaaS。

  1. 资产管理 > 云身份界面选择已托管的云账号(若未托管,请先完成添加云账号),单击操作列中的云角色管理

  2. 单击添加云角色

    1. 角色名称:选择要托管至 IDaaS 的 RAM 角色。

    2. 信任策略:按照界面提示,在该云账号的 RAM 控制台中完成配置。详细配置可参考创建可信实体为身份提供商的RAM角色修改RAM角色的信任策略

  3. 单击确定,完成云角色添加。

配置完成后可在资产管理 > 云身份界面中查看当前添加的云账号,在目标云账号的操作列下单击云角色管理,可查看当前添加的云角色。

删除云账号

取消云账号托管。

资产管理 > 云身份界面中找到目标云账号,单击操作列中的删除

说明

删除云账号前,需先删除该账号下所有用户创建的云角色。

删除云角色

取消目标云账号下的云角色托管。

  1. 资产管理 > 云身份界面选择已托管的云账号(若未托管,请先完成添加云账号),单击操作列中的云角色管理

  2. 在云角色列表中找到目标云角色,单击云角色状态列下的开关按钮,禁用云角色。

    重要

    禁用云角色将导致应用和用户无法使用对应角色,操作前请确认业务影响。

  3. 在云角色列表中找到目标云角色,单击操作列下的删除

应用于生产环境

最小权限原则:为托管的 RAM 角色配置精准的权限策略。仅授予其完成业务所必需的最小权限,避免使用 *:* 等过于宽泛的授权。

上一篇:资产管理下一篇:登录