跨阿里云账号的资源授权_云市场(Marketplace)-阿里云帮助中心

如伙伴经营云市场的账号和部署资源的账号为两个独立分开的账号。经营账号要用到部署账号下的权限和云资源来进行店铺发品。可根据以下指导，实现跨阿里云账号的资源授权。实现经营账号调用部署账号下的相应资源完成商品上架相关的工作。

其中经营账号指入驻云市场，已签署服务商入驻协议的账号。部署账号仅指部署资源的账号，本身并未入驻云市场。

总体分为两步：1. 经营账号配置相应的子账号权限。2. 经营账号设置角色并设置对应角色的授信策略。

一、服务商经营账号配置相应的子账号权限

登录RAM访问控制台。
创建对应RAM子账号或确定需配置权限的子账号，登录RAM访问控制台---点击创建用户。
为子账号配置基础的权限。
- 云市场店铺权限（AliyunMarketplaceFullAccess）
- 角色扮演权限（AliyunSTSAssumeRoleAccess）
如果要发以下商品，还需要为该子账号配置对应权限，请按实际需要配置云资源使用权限。
- 镜像，需配置ECS管理权限(AliyunECSFullAccess)
- API，需配置API网关服务管理权限(AliyunApiGatewayFullAccess)
- 计算巢部署商品，需配置计算巢服务管理权限(AliyunComputeNestUserFullAccess)
- 数据集，需配置数据集管理权限(AliyunDatasetAccFullAccess)
- 容器服务，需配置容器服务管理权限(AliyunCSFullAccess)

路径：登录 RAM访问控制台，点击用户--添加权限

二、部署账号创建角色，并为角色制定信任策略

登录RAM访问控制台
创建角色，角色名称命名为：YunmarketCommodityVendorcrossResourceLink。请务必保持角色名称和上述名称一致。路径：登录RAM访问控制台，点击角色- 创建角色

为新建的角色新增信任策略。

3.1 点击角色，查看角色详情。

3.2 新增/编辑信任策略。

参考策略代码如下，也可以根据修改RAM角色的信任策略进行修改。

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::12886450101****（注释：该UID为经营账号主账号UID）:root"
                ]
            }
        },
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::17445268772*****（注释：该UID为部署账号主账号UID） :root"
                ]
            }
        }
    ],
    "Version": "1"
}

为新建的角色新增相应的管理权限。
4.1 点击角色，查看角色详情。
4.2 新增/编辑权限管理。
- 为该配置基础的权限
  - 角色扮演权限（AliyunSTSAssumeRoleAccess）
- 如果要发以下商品，还需要为该子账号配置对应权限，请按实际需要配置云资源使用权限
  - 镜像，需配置ECS管理权限(AliyunECSFullAccess)
  - API，需配置API网关服务管理权限(AliyunApiGatewayFullAccess)
  - 计算巢部署商品，需配置计算巢服务相应权限 (AliyunComputeNestUserFullAccess和AliyunComputeNestSupplierReadOnlyAccess)
  - 数据集，需配置数据集管理权限(AliyunDatasetAccFullAccess)
  - 容器服务，需配置容器服务管理权限(AliyunCSFullAccess)