文档

使用资源栈角色

更新时间:

本文为您介绍如何创建资源栈角色并使用资源栈角色创建相关资源。

应用场景

资源栈角色是一种可信实体为资源编排服务的RAM角色。如果您不希望资源编排服务以当前用户身份部署资源,而希望以具有特定权限的某个身份部署资源时,可以在操作资源栈时指定资源栈角色,从而以该资源栈角色身份部署资源。

当某企业需要员工创建多个云产品资源,但又不希望该员工拥有太大的权限时,企业可以为员工提供具有创建对应资源权限的资源栈角色,员工只需在创建资源栈时选择资源栈角色,从而实现通过ROS创建多个资源。本文以阿里云账号(主账号)创建资源栈角色,RAM用户(子账号)使用资源栈角色创建VPC资源为例,为您进行详细介绍。

操作步骤

步骤一:创建资源栈角色

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,单击创建角色

  4. 创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步

  5. 选择角色类型普通服务角色

  6. 输入角色名称备注

  7. 选择受信服务为资源编排服务,然后单击完成

步骤二:获取模板所需的权限策略

  1. 定义创建VPC资源的模板。

    创建资源模板的更多信息,请参见查看资源类型

    ROSTemplateFormatVersion: '2015-09-01'
    Resources:
      Vpc:
        Type: ALIYUN::ECS::VPC
        Properties:
          CidrBlock: 192.168.0.0/24
          VpcName: TestVpc
  2. 获取权限策略。

    1. 在OpenAPI门户,访问GenerateTemplatePolicy接口。

    2. TemplateBody参数中输入VPC示例模板。

    3. 单击调用,获取创建VPC资源的权限策略。

      {
        "Policy": {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "quotas:ListProductQuotas"
              ],
              "Resource": "*",
              "Effect": "Allow"
            },
            {
              "Action": [
                "vpc:AssociateVpcCidrBlock",
                "vpc:CreateVpc",
                "vpc:DeleteVpc",
                "vpc:DescribeVpcs",
                "vpc:ModifyVpcAttribute",
                "vpc:TagResources",
                "vpc:UnTagResources"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        },
        "RequestId": "607A8E4E-4423-5D2D-8392-E74C5DC42EC5"
      }

步骤三:创建自定义权限策略

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 权限策略

  3. 权限策略页面,单击创建权限策略

  4. 创建权限策略页面,单击脚本编辑页签。

  5. 输入权限策略内容,然后单击继续编辑基本信息

    策略内容替换为步骤二:获取模板所需的权限策略获取的权限策略中的Policy部分代码。

  6. 输入权限策略名称备注

  7. 单击确定

步骤四: 为资源栈角色授权

  1. 在左侧导航栏,选择身份管理 > 角色

  2. 角色页面,单击步骤一中创建的RAM角色操作列的精准授权

    精准授权默认的授权范围为当前阿里云账号。

  3. 添加权限面板,选择权限策略类型为自定义策略,然后输入步骤三:创建自定义权限策略中创建的权限策略名称

    关于如何查看权限策略名称,请参见查看权限策略基本信息

  4. 单击确定

步骤五:使用资源栈角色创建资源栈

前提条件

使用阿里云账号(主账号)创建一个RAM用户(子账号),并为RAM用户授予ROS的管理权限(AliyunROSFullAccess)。具体操作,请参见创建RAM用户为RAM用户授权

操作步骤

  1. 使用RAM用户登录资源编排控制台

  2. 在左侧导航栏,单击资源栈

  3. 在顶部菜单栏的地域下拉列表,选择资源栈的所在地域。

  4. 资源栈列表页面,单击创建资源栈,然后在下拉列表中选择使用ROS

  5. 选择模板页面,根据需要指定模板,然后单击下一步

    您可以输入创建VPC资源的模板。关于指定模板的更多信息,请参见设置模板

  6. 配置参数页面,配置资源栈名称模板参数

    说明

    根据模板的不同,您需要配置的模板参数将有所差异,请根据控制台提示输入参数信息。

  7. 配置资源栈区块,输入RAM角色步骤一:创建资源栈角色中创建的角色名称。

    关于其他参数的配置,请参见创建资源栈

  8. 合规预检页面,完成合规检测,然后单击下一步

    说明

    目前合规预检功能仅支持为部分资源提供合规预检功能。更多信息,请参见资源编排支持合规预检

    1. 检测规则区域,添加检测规则。

      您可以根据ROS模板中的云资源选择需要检测的规则。

    2. 单击开始检测

      您可以根据不合规或不适用资源的修正方案修改模板内容,从而保证资源的合规性。

  9. 检查并确认页面,单击创建

    资源栈创建成功后,状态列显示创建成功