本文为您介绍如何创建资源栈角色并使用资源栈角色创建相关资源。
应用场景
资源栈角色是一种可信实体为资源编排服务的RAM角色。如果您不希望资源编排服务以当前用户身份部署资源,而希望以具有特定权限的某个身份部署资源时,可以在操作资源栈时指定资源栈角色,从而以该资源栈角色身份部署资源。
当某企业需要员工创建多个云产品资源,但又不希望该员工拥有太大的权限时,企业可以为员工提供具有创建对应资源权限的资源栈角色,员工只需在创建资源栈时选择资源栈角色,从而实现通过ROS创建多个资源。本文以阿里云账号(主账号)创建资源栈角色,RAM用户(子账号)使用资源栈角色创建VPC资源为例,为您进行详细介绍。
操作步骤
步骤一:创建资源栈角色
使用阿里云账号登录RAM控制台。
在左侧导航栏,选择。
在角色页面,单击创建角色。
在创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步。
选择角色类型为普通服务角色。
输入角色名称和备注。
选择受信服务为资源编排服务,然后单击完成。
步骤二:获取模板所需的权限策略
定义创建VPC资源的模板。
创建资源模板的更多信息,请参见查看资源类型。
ROSTemplateFormatVersion: '2015-09-01' Resources: Vpc: Type: ALIYUN::ECS::VPC Properties: CidrBlock: 192.168.0.0/24 VpcName: TestVpc获取权限策略。
在OpenAPI门户,访问GenerateTemplatePolicy接口。
在TemplateBody参数中输入VPC示例模板。
单击调用,获取创建VPC资源的权限策略。
{ "Policy": { "Version": "1", "Statement": [ { "Action": [ "quotas:ListProductQuotas" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:AssociateVpcCidrBlock", "vpc:CreateVpc", "vpc:DeleteVpc", "vpc:DescribeVpcs", "vpc:ModifyVpcAttribute", "vpc:TagResources", "vpc:UnTagResources" ], "Resource": "*", "Effect": "Allow" } ] }, "RequestId": "607A8E4E-4423-5D2D-8392-E74C5DC42EC5" }
步骤三:创建自定义权限策略
使用阿里云账号登录RAM控制台。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
输入权限策略内容,然后单击继续编辑基本信息。
策略内容替换为步骤二:获取模板所需的权限策略获取的权限策略中的Policy部分代码。
输入权限策略名称和备注。
单击确定。
步骤四: 为资源栈角色授权
在左侧导航栏,选择。
在角色页面,单击步骤一中创建的RAM角色操作列的精准授权。
精准授权默认的授权范围为当前阿里云账号。
在添加权限面板,选择权限策略类型为自定义策略,然后输入步骤三:创建自定义权限策略中创建的权限策略名称。
关于如何查看权限策略名称,请参见查看权限策略基本信息。
单击确定。
步骤五:使用资源栈角色创建资源栈
前提条件
使用阿里云账号(主账号)创建一个RAM用户(子账号),并为RAM用户授予ROS的管理权限(AliyunROSFullAccess)。具体操作,请参见创建RAM用户和为RAM用户授权。
操作步骤
使用RAM用户登录资源编排控制台。
在左侧导航栏,单击资源栈。
在顶部菜单栏的地域下拉列表,选择资源栈的所在地域。
在资源栈列表页面,单击创建资源栈,然后在下拉列表中选择使用ROS。
在选择模板页面,根据需要指定模板,然后单击下一步。
您可以输入创建VPC资源的模板。关于指定模板的更多信息,请参见设置模板。
在配置参数页面,配置资源栈名称和模板参数。
说明根据模板的不同,您需要配置的模板参数将有所差异,请根据控制台提示输入参数信息。
在配置资源栈区块,输入RAM角色为步骤一:创建资源栈角色中创建的角色名称。
关于其他参数的配置,请参见创建资源栈。
在合规预检页面,完成合规检测,然后单击下一步。
说明目前合规预检功能仅支持为部分资源提供合规预检功能。更多信息,请参见资源编排支持合规预检。
在检测规则区域,添加检测规则。
您可以根据ROS模板中的云资源选择需要检测的规则。
单击开始检测。
您可以根据不合规或不适用资源的修正方案修改模板内容,从而保证资源的合规性。
在检查并确认页面,单击创建。
资源栈创建成功后,状态列显示创建成功。
- 本页导读 (1)