调用CreateRole接口创建RAM角色。
接口说明
使用说明
关于 RAM 角色的介绍,请参见 RAM 角色概览。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
授权信息
下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:
- 操作:是指具体的权限点。
- 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
- 资源类型:是指操作中支持授权的资源类型。具体说明如下:
- 对于必选的资源类型,用背景高亮的方式表示。
- 对于不支持资源级授权的操作,用
全部资源表示。
- 条件关键字:是指云产品自身定义的条件关键字。
- 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
| 操作 | 访问级别 | 资源类型 | 条件关键字 | 关联操作 |
|---|---|---|---|---|
| ram:CreateRole | create |
|
| 无 |
请求参数
| 名称 | 类型 | 必填 | 描述 | 示例值 |
|---|---|---|---|---|
| RoleName | string | 是 | RAM 角色名称。 长度为 1~64 个字符,可包含英文字母、数字、半角句号(.)和短划线(-)。 | ECSAdmin |
| Description | string | 否 | RAM 角色描述。 长度为 1~1024 个字符。 | ECS管理角色 |
| AssumeRolePolicyDocument | string | 是 | 信任策略。指定允许扮演该 RAM 角色的一个或多个主体,这个主体可以是阿里云账号、阿里云服务或身份提供商。 说明
RAM 用户不能扮演可信实体为阿里云服务的 RAM 角色。
| {"Statement":[{"Action":"sts:AssumeRole","Effect":"Allow","Principal":{"RAM":"acs:ram::123456789012****:root"}}],"Version":"1"} |
| MaxSessionDuration | long | 否 | RAM 角色最大会话时间。 取值范围:3600 秒~43200 秒。默认值:3600 秒。 取值为空时将采用默认值。 | 3600 |
AssumeRolePolicyDocument 示例
- 以下策略表示:允许扮演该 RAM 角色的可信实体为阿里云账号(AccountID=
123456789012****)下被授权的任何 RAM 用户。
{
"Statement": [{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::123456789012****:root"
]
}
}],
"Version": "1"
}
- 以下策略表示:允许扮演该 RAM 角色的可信实体为阿里云账号(AccountID=
123456789012****)下被授权的 RAM 用户testuser。
说明
创建该角色前,请确保已创建 RAM 用户
testuser(其登录名称为:testuser@123456789012****.onaliyun.com)。
{
"Statement": [{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::123456789012****:user/testuser"
]
}
}],
"Version": "1"
}
- 以下策略表示:允许扮演该 RAM 角色的可信实体为当前阿里云账号下的 ECS 服务。
{
"Statement": [{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}],
"Version": "1"
}
- 以下策略表示:允许扮演该 RAM 角色的可信实体为当前阿里云账号(AccountID=
123456789012****)下的 SAML 身份提供商testprovider。
说明
创建此角色前,请确保已创建 SAML 身份提供商
testprovider。
{
"Statement": [{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::123456789012****:saml-provider/testprovider"
]
},
"Condition": {
"StringEquals": {
"saml:recipient": "https://signin.aliyun.com/saml-role/sso"
}
}
}],
"Version": "1"
}
- 以下策略表示:允许扮演该 RAM 角色的可信实体为当前阿里云账号(AccountID=
123456789012****)下的 OIDC 身份提供商TestOIDCProvider。
说明
创建此角色前,请确保已创建 OIDC 身份提供商
TestOIDCProvider。
{
"Statement": [{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::123456789012****:oidc-provider/TestOIDCProvider"
]
},
"Condition": {
"StringEquals": {
"oidc:aud": [
"496271242565057****"
],
"oidc:iss": "https://dev-xxxxxx.okta.com",
"oidc:sub": "KryrkIdjylZb7agUgCEf****"
}
}
}],
"Version": "1"
}
返回参数
示例
正常返回示例
JSON格式
{
"Role": {
"AssumeRolePolicyDocument": "{ \"Statement\": [ { \"Action\": \"sts:AssumeRole\", \"Effect\": \"Allow\", \"Principal\": { \"RAM\": \"acs:ram::123456789012****:root\" } } ], \"Version\": \"1\" }",
"Description": "ECS管理角色",
"MaxSessionDuration": 3600,
"RoleName": "ECSAdmin",
"CreateDate": "2015-01-23T12:33:18Z",
"RoleId": "901234567890****",
"Arn": "acs:ram::123456789012****:role/ECSAdmin"
},
"RequestId": "04F0F334-1335-436C-A1D7-6C044FE73368"
}错误码
访问错误中心查看更多错误码。
变更历史
| 变更时间 | 变更内容概要 | 操作 |
|---|
暂无变更历史