跨阿里云账号的资源授权
如伙伴经营云市场的账号和部署资源的账号为两个独立分开的账号。经营账号要用到部署账号下的权限和云资源来进行店铺发品。可根据以下指导,实现跨阿里云账号的资源授权。实现经营账号调用部署账号下的相应资源完成商品上架相关的工作。
其中经营账号指入驻云市场,已签署服务商入驻协议的账号。部署账号仅指部署资源的账号,本身并未入驻云市场。
总体分为两步:1. 经营账号配置相应的子账号权限。2. 经营账号设置角色并设置对应角色的授信策略。
一、服务商经营账号配置相应的子账号权限
登录RAM访问控制台。
创建对应RAM子账号或确定需配置权限的子账号,登录RAM访问控制台---点击创建用户。
为子账号配置基础的权限。
云市场店铺权限(AliyunMarketplaceFullAccess)
角色扮演权限(AliyunSTSAssumeRoleAccess)
如果要发以下商品,还需要为该子账号配置对应权限,请按实际需要配置云资源使用权限。
镜像,需配置ECS管理权限(AliyunECSFullAccess)
API,需配置API网关服务管理权限(AliyunApiGatewayFullAccess)
计算巢部署商品,需配置计算巢服务管理权限(AliyunComputeNestUserFullAccess)
数据集,需配置数据集管理权限(AliyunDatasetAccFullAccess)
容器服务,需配置容器服务管理权限(AliyunCSFullAccess)
路径 :登录 RAM访问控制台 ,点击用户--添加权限
二、部署账号创建角色,并为角色制定信任策略
登录RAM访问控制台
创建角色,角色名称命名为:YunmarketCommodityVendorcrossResourceLink。请务必保持角色名称和上述名称一致。路径:登录RAM访问控制台 ,点击角色- 创建角色
为新建的角色新增信任策略。
3.1 点击角色,查看角色详情。
3.2 新增/编辑信任策略。
参考策略代码如下,也可以根据修改RAM角色的信任策略进行修改。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::12886450101****(注释:该UID为经营账号主账号UID):root" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::17445268772*****(注释:该UID为部署账号主账号UID) :root" ] } } ], "Version": "1" }
为新建的角色新增相应的管理权限。
4.1 点击角色,查看角色详情。
4.2 新增/编辑权限管理。
为该配置基础的权限
角色扮演权限(AliyunSTSAssumeRoleAccess)
如果要发以下商品,还需要为该子账号配置对应权限,请按实际需要配置云资源使用权限
镜像,需配置ECS管理权限(AliyunECSFullAccess)
API,需配置API网关服务管理权限(AliyunApiGatewayFullAccess)
计算巢部署商品,需配置计算巢服务相应权限 (AliyunComputeNestUserFullAccess和AliyunComputeNestSupplierReadOnlyAccess)
数据集,需配置数据集管理权限(AliyunDatasetAccFullAccess)
容器服务,需配置容器服务管理权限(AliyunCSFullAccess)