如果加载到云企业网(CEN)中的云连接网(CCN)的本地网络需要通过云企业网访问PrivateZone服务,此时需要进行授权。
场景一:同账号授权
如下表所示,如果云连接网、部署了PrivateZone服务的专有网络(VPC)和云企业网同属于一个账号,您可以在访问Private Zone页签,单击点击授权,然后根据提示完成授权即可。
您只有在第一次配置PrivateZone访问时需要为智能接入网关进行授权。
|
资源 |
所属账号(UID) |
|
云企业网(CEN) |
111111 |
|
专有网络(VPC) |
111111 |
|
云连接网(CCN) |
111111 |
授权后,系统会自动添加一个名称AliyunSmartAGAccessingPVTZRole的RAM角色。您可以在访问控制管理控制台的角色页面,查看该角色。
场景二:云连接网账号不同
如下表所示,如果云企业网、部署了PrivateZone服务的VPC属于同一个账号,但云连接网属于另外一个账号。此种情况下,您需要修改授权策略。
|
资源 |
所属账号(UID) |
|
云企业网(CEN) |
111111 |
|
专有网络(VPC) |
111111 |
|
云连接网(CCN) |
333333 |
以下操作需要使用VPC所属账号完成。
-
登录云企业网管理控制台。
-
单击目标云企业网实例的ID。
-
在 页签,找到目标地域的转发路由器实例,单击目标实例ID。
-
单击访问Private Zone,然后单击点击授权,根据提示完成授权。
说明您只有在第一次配置PrivateZone访问时需要为智能接入网关进行授权。
-
登录访问控制管理控制台。
-
在左侧导航栏,单击角色。
-
在搜索框内输入AliyunSmartAGAccessingPVTZRole查找角色,然后单击查找到的角色名称。
-
单击信任策略页签,然后单击编辑信任策略。
信任策略 JSON 中,
Action为sts:AssumeRole,Effect为Allow,Principal.Service为smartag.aliyuncs.com。 -
在Service中添加一条
"云连接网所属账号ID@smartag.aliyuncs.com"记录,然后单击保存信任策略。
场景三:云企业网账号不同
如下表所示,如果云连接网和部署了PrivateZone服务的VPC属于同一个账号,但云企业网属于另外一个账号。此种情况下,需要使用VPC的账号创建授权策略。
|
资源 |
所属账号(UID) |
|
云企业网(CEN) |
333333 |
|
专有网络(VPC) |
111111 |
|
云连接网(CCN) |
111111 |
-
使用VPC的账号登录RAM控制台。
-
在左侧导航栏,单击角色。
-
根据以下信息创建RAM角色,然后单击完成。更多信息请参见创建可信实体为阿里云服务的RAM角色。
-
选择可信实体类型:选择阿里云服务。
-
角色类型:选择普通服务角色。
-
角色名称:输入AliyunSmartAGAccessingPVTZRole。
-
选择受信服务:选择智能接入网关。
-
-
创建完成后在左侧导航栏,单击 角色, 然后在 角色名称 列单击新建的RAM角色名称。
-
在权限管理页签,单击新增授权。
-
在系统策略下的搜索框中输入pvtz,然后单击AliyunPvtzReadOnlyAccess权限添加只读访问PrivateZone的权限。然后单击确认更多信息请参见管理RAM角色的权限。
-
授权成功后,单击信任策略页签查看授权信息。
信任策略的 JSON 内容中,
Action为sts:AssumeRole,Effect为Allow,Principal.Service为smartag.aliyuncs.com,Version为1。
场景四:所有账号都不同
如下表所示,如果云连接网、部署了PrivateZone服务的VPC和云企业网的账号都不同,此种情况下,需要完成如下两个授权任务:
|
资源 |
所属账号(UID) |
|
云企业网(CEN) |
111111 |
|
专有网络(VPC) |
222222 |
|
云连接网(CCN) |
333333 |
-
参考场景三的方法,VPC的账号需要创建一个RAM角色完成授权。
详细信息,请参见场景三:云企业网账号不同。创建 RAM 角色 AliyunSmartAGAccessingPVTZRole,并在信任策略中配置如下内容:Action 为
sts:AssumeRole,Effect 为Allow,Principal.Service 为smartag.aliyuncs.com,Version 为1。该策略允许智能接入网关服务扮演此角色以访问 PrivateZone。 -
参考场景二的方法,VPC的账号需要在已有的授权策略中添加云连接网服务,格式为
"云连接网所属账号ID@smartag.aliyuncs.com"。详细信息,请参见场景二:云连接网账号不同。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "smartag.aliyuncs.com", "333333@@smartag.aliyuncs.com" ] } } ], "Version": "1" }
如果有多个云连接网且云连接网的账号都不同,您只需要将所有需要访问PrivateZone的云连接网服务添加到授权策略中,如下所示。
|
资源 |
所属账号(UID) |
|
云企业网(CEN) |
111111 |
|
专有网络(VPC) |
222222 |
|
云连接网(CCN) |
333333 |
|
云连接网(CCN) |
444444 |
|
云连接网(CCN) |
555555 |
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"smartag.aliyuncs.com",
"333333@smartag.aliyuncs.com",
"444444@smartag.aliyuncs.com",
"555555@smartag.aliyuncs.com"
]
}
}
],
"Version": "1"
}