使用企業A的阿里雲主帳號建立RAM角色、為該角色授權,並將該角色賦予企業B,即可實現使用企業B的主帳號或其RAM使用者訪問企業A的ACM資源的目的。
跨帳號授權流程
假設企業A(帳號ID為11223344,企業別名為Company-a)需要將ACM操作許可權授予企業B(帳號ID為12345678,企業別名為Company-b)的員工C,則授權流程為:
說明 關於企業別名的詳細資料,請參見建立並驗證域別名。
步驟一:企業A建立角色
- 使用企業A的雲賬戶登入RAM控制台,在左側導覽列中選擇RAM角色管理。
- 在RAM角色管理頁面上單擊建立RAM角色。
- 在建立RAM角色對話方塊中執行以下操作並單擊確定。
- 在選擇類型地區選取項目阿里雲帳號,單擊下一步。
- 輸入角色名稱文字框內輸入需授權的雲帳戶。
在本樣本中,輸入acm-admin。
- 選擇其他雲帳號,並輸入需授權的雲帳戶,單擊完成。
在本樣本中,輸入企業B的帳號ID 12345678。
步驟二:企業A為該角色授權
新建立的角色沒有任何許可權,因此企業A必須為該角色授權。在本樣本中,企業A要將授權策略AliyunACMFullAccess分配給該角色,從而使該角色能夠訪問ACM資源。
- 登入RAM控制台,在左側導覽列中選擇RAM角色管理。
- 在RAM角色管理頁面上單擊目標角色操作列中的添加許可權。
- 在添加許可權對話方塊左側的系統權限原則中找到AliyunACMFullAccess策略,並單擊該策略,然後單擊確定。
說明 如果還使用到ACM的加解密配置功能,則還需要為使用者添加AliyunKMSCryptoAccess授權策略。
重要 此步驟將授予ACM的全部存取權限。如果希望授予單個命名空間的特定許可權,請參見存取權限控制。
步驟三:企業B建立RAM使用者
- 登入RAM控制台,在左側導覽列中選擇 。
- 在使用者頁面上單擊建立使用者,在使用者帳號資訊地區輸入使用者的登入名稱稱和顯示名稱。
重要 登入名稱稱必須在雲賬戶內保持唯一。
如需建立多個使用者,則單擊添加使用者,並輸入登入名稱稱和顯示名稱。
- 在訪問方式地區選取項目控制台密碼登入,然後按需設定控制台密碼、要求重設密碼和多因素認證,並單擊確定。
完成以上步驟後,一個可以登入控制台的RAM使用者就建立成功了。
步驟四:企業B為RAM使用者授權
- 登入RAM控制台,在左側導覽列中選擇 。
- 在使用者頁面上單擊目標使用者操作列中的添加授權。
- 在添加許可權對話方塊左側的系統策略中找到AliyunSTSAssumeRoleAccess策略,並單擊該策略,然後單擊確定。
步驟五:使用企業B的RAM使用者跨帳號訪問資源
- 使用雲賬戶登入RAM控制台,在左側導覽列中選擇概覽。
- 在帳號管理地區單擊使用者登入地址連結。
- 在阿里雲-RAM使用者登入頁面上按照提示輸入登入使用者名稱稱,單擊下一步,然後輸入密碼並單擊登入。
- 在子使用者使用者中心頁面上,單擊互連網中介軟體類目下的Application Configuration Manangement進入ACM控制台。
- 登入成功後,將滑鼠指標移到右上方頭像,並在浮層中單擊切換身份。
- 在阿里雲-角色切換頁面,輸入企業A的企業別名Company-a(或預設網域名稱) 和角色名稱acm-admin,然後單擊切換。
- 對企業A的ACM資源執行操作。