跨阿里云账号的资源授权

更新时间:

如伙伴经营云市场的账号和部署资源的账号为两个独立分开的账号。经营账号要用到部署账号下的权限和云资源来进行店铺发品。可根据以下指导,实现跨阿里云账号的资源授权。实现经营账号调用部署账号下的相应资源完成商品上架相关的工作。

其中经营账号指入驻云市场,已签署服务商入驻协议的账号。部署账号仅指部署资源的账号,本身并未入驻云市场。

总体分为两步:1. 经营账号配置相应的子账号权限。2. 经营账号设置角色并设置对应角色的授信策略。

一、服务商经营账号配置相应的子账号权限

  1. 登录RAM访问控制台

  2. 创建对应RAM子账号或确定需配置权限的子账号,登录RAM访问控制台---点击创建用户。image

  3. 为子账号配置基础的权限。

    • 云市场店铺权限(AliyunMarketplaceFullAccess)

    • 角色扮演权限(AliyunSTSAssumeRoleAccess)

  4. 如果要发以下商品,还需要为该子账号配置对应权限,请按实际需要配置云资源使用权限。

    • 镜像,需配置ECS管理权限(AliyunECSFullAccess)

    • API,需配置API网关服务管理权限(AliyunApiGatewayFullAccess)

    • 计算巢部署商品,需配置计算巢服务管理权限(AliyunComputeNestUserFullAccess)

    • 数据集,需配置数据集管理权限(AliyunDatasetAccFullAccess)

    • 容器服务,需配置容器服务管理权限(AliyunCSFullAccess)

路径 :登录 RAM访问控制台 ,点击用户--添加权限image

二、部署账号创建角色,并为角色制定信任策略

  1. 登录RAM访问控制台

  2. 创建角色,角色名称命名为:YunmarketCommodityVendorcrossResourceLink。请务必保持角色名称和上述名称一致。路径:登录RAM访问控制台 ,点击角色- 创建角色image

  3. 为新建的角色新增信任策略。

    3.1 点击角色,查看角色详情。

    3.2 新增/编辑信任策略。image

    参考策略代码如下,也可以根据修改RAM角色的信任策略进行修改。

    {
        "Statement": [
            {
                "Action": "sts:AssumeRole",
                "Effect": "Allow",
                "Principal": {
                    "RAM": [
                        "acs:ram::12886450101****(注释:该UID为经营账号主账号UID):root"
                    ]
                }
            },
            {
                "Action": "sts:AssumeRole",
                "Effect": "Allow",
                "Principal": {
                    "RAM": [
                        "acs:ram::17445268772*****(注释:该UID为部署账号主账号UID) :root"
                    ]
                }
            }
        ],
        "Version": "1"
    }
  4. 为新建的角色新增相应的管理权限。

    4.1 点击角色,查看角色详情。

    4.2 新增/编辑权限管理。

    • 为该配置基础的权限

      • 角色扮演权限(AliyunSTSAssumeRoleAccess)

    • 如果要发以下商品,还需要为该子账号配置对应权限,请按实际需要配置云资源使用权限

      • 镜像,需配置ECS管理权限(AliyunECSFullAccess)

      • API,需配置API网关服务管理权限(AliyunApiGatewayFullAccess)

      • 计算巢部署商品,需配置计算巢服务相应权限 (AliyunComputeNestUserFullAccessAliyunComputeNestSupplierReadOnlyAccess)

      • 数据集,需配置数据集管理权限(AliyunDatasetAccFullAccess)

      • 容器服务,需配置容器服务管理权限(AliyunCSFullAccess)

    image