全部產品
Search
文件中心

Container Registry:配置使用自訂網域名時的RAM存取控制

更新時間:Dec 11, 2024

若您需要Container RegistryACR能夠通過自訂網域名訪問和管理SSL認證,您可以通過為該帳號添加RAM角色,並為該RAM角色授權對阿里雲SSL認證操作許可權的方式,來實現安全的自訂網域名訪問。

步驟一:建立RAM角色

Container Registry訪問自訂網域名時,需要為阿里雲帳號建立名為AliyunContainerRegistryCustomizedDomainRole的角色。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊建立角色

  4. 建立角色頁面,選擇可信實體類型為阿里雲帳號,然後單擊下一步

  5. 設定角色名稱為AliyunContainerRegistryCustomizedDomainRole,輸入備忘,選擇信任的雲帳號為當前雲帳號。單擊完成

    說明

    若選擇其他雲帳號,需要填寫其他雲帳號的ID。

步驟二:配置RAM角色的權限原則

配置RAM角色的權限原則,使其擁有對阿里雲SSL認證資源讀取的許可權。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊AliyunContainerRegistryCustomizedDomainRole操作列的新增授權

  4. 新增授權面板,選擇資源範圍帳號層級,然後在權限原則搜尋方塊中搜尋AliyunYundunCertReadOnlyAccess,並對其勾選。

    說明

    在右側地區框,選擇某條策略並單擊×,可撤銷該策略。

  5. 單擊確認新增授權

  6. 單擊關閉

步驟三:配置RAM角色的信任策略

為該RAM角色的信任策略中添加Container Registry,使Container Registry可以訪問阿里雲SSL認證。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊角色名稱列下的AliyunContainerRegistryCustomizedDomainRole。

  4. 信任策略頁簽,單擊編輯信任策略

    image

  5. 拷貝以下內容到文字框中,然後單擊儲存信任策略

    {
        "Statement": [
            {
                "Action": "sts:AssumeRole",
                "Effect": "Allow",
                "Principal": {
                    "Service": [
                        "cr.aliyuncs.com"
                    ]
                }
            }
        ],
        "Version": "1"
    }