企业用户通常通过常规登录方式(即在阿里云控制台输入账号、密码)登录阿里云,管理、使用云资源。随着企业安全监管要求的日益严格,部分企业更愿意通过角色登录(Role Base_SSO)的方式登录阿里云。本文为您介绍使用角色SSO的方式登录MaxCompute新版控制台需要配置的角色授信策略。
背景信息
阿里云与企业进行角色SSO时,阿里云是服务提供商(SP),而企业自有的身份管理系统则是身份提供商(IdP)。通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行阿里云和企业IdP间的用户同步,企业员工将使用指定的RAM角色登录阿里云,详情请参见SAML角色SSO概览。
配置角色授信策略
创建角色
通过RAM用户来扮演RAM角色,创建角色请参见创建可信实体为阿里云账号的RAM角色。
通过IdP身份提供商账号来扮演RAM角色,创建角色请参见创建可信实体为身份提供商的RAM角色。
配置角色授信策略
使用阿里云账号登录RAM控制台。
在左侧导航栏,选择身份管理 > 角色。
在角色页面,单击目标RAM角色名称。
单击信任策略页签,然后单击编辑信任策略。
信任策略修改完成后,然后单击保存信任策略。信任策略具体内容如下所示。
通过RAM用户来扮演的角色。
如果需要通过RAM用户来扮演RAM角色,该角色的信任策略如下。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::UID:root" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }
说明请替换上述策略中的UID为阿里云账号的UID。
通过IdP身份提供商账号来扮演的角色,该角色的信任策略如下。
{ "Statement": [ { "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "saml:recipient": "https://signin.aliyun.com/saml-role/sso" } }, "Effect": "Allow", "Principal": { "Federated": [ "acs:ram::UID:saml-provider/IDP" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }
说明请替换上述策略中的UID为阿里云账号的UID,替换IDP为您选择的身份提供商的名称。
更多关于RAM角色信任策略的信息请参见修改RAM角色的信任策略。
文档内容是否对您有帮助?