全部產品
Search
文件中心

Application Configuration Management(Deprecated):利用RAM角色實現跨帳號訪問ACM

更新時間:Jul 06, 2024

使用企業A的阿里雲主帳號建立RAM角色、為該角色授權,並將該角色賦予企業B,即可實現使用企業B的主帳號或其RAM使用者訪問企業A的ACM資源的目的。

跨帳號授權流程

假設企業A(帳號ID為11223344,企業別名為Company-a)需要將ACM操作許可權授予企業B(帳號ID為12345678,企業別名為Company-b)的員工C,則授權流程為:

  1. 步驟一:企業A建立角色
  2. 步驟二:企業A為該角色授權
  3. 步驟三:企業B建立RAM使用者
  4. 步驟四:企業B為RAM使用者授權
說明 關於企業別名的詳細資料,請參見建立並驗證域別名

步驟一:企業A建立角色

  1. 使用企業A的雲賬戶登入RAM控制台,在左側導覽列中選擇RAM角色管理
  2. RAM角色管理頁面上單擊建立RAM角色
  3. 建立RAM角色對話方塊中執行以下操作並單擊確定
    1. 選擇類型地區選取項目阿里雲帳號,單擊下一步
    2. 輸入角色名稱文字框內輸入需授權的雲帳戶。

      在本樣本中,輸入acm-admin

    3. 選擇其他雲帳號,並輸入需授權的雲帳戶,單擊完成

      在本樣本中,輸入企業B的帳號ID 12345678

步驟二:企業A為該角色授權

新建立的角色沒有任何許可權,因此企業A必須為該角色授權。在本樣本中,企業A要將授權策略AliyunACMFullAccess分配給該角色,從而使該角色能夠訪問ACM資源。

  1. 登入RAM控制台,在左側導覽列中選擇RAM角色管理
  2. RAM角色管理頁面上單擊目標角色操作列中的添加許可權
  3. 添加許可權對話方塊左側的系統權限原則中找到AliyunACMFullAccess策略,並單擊該策略,然後單擊確定
    RAM添加許可權對話方塊
    說明 如果還使用到ACM的加解密配置功能,則還需要為使用者添加AliyunKMSCryptoAccess授權策略。
重要 此步驟將授予ACM的全部存取權限。如果希望授予單個命名空間的特定許可權,請參見存取權限控制

步驟三:企業B建立RAM使用者

  1. 登入RAM控制台,在左側導覽列中選擇人員管理 > 使用者
  2. 使用者頁面上單擊建立使用者,在使用者帳號資訊地區輸入使用者的登入名稱稱顯示名稱
    重要 登入名稱稱必須在雲賬戶內保持唯一。

    如需建立多個使用者,則單擊添加使用者,並輸入登入名稱稱顯示名稱

    圖 1. 建立使用者頁面 RAM建立使用者頁面
  3. 訪問方式地區選取項目控制台密碼登入,然後按需設定控制台密碼要求重設密碼多因素認證,並單擊確定

完成以上步驟後,一個可以登入控制台的RAM使用者就建立成功了。

步驟四:企業B為RAM使用者授權

  1. 登入RAM控制台,在左側導覽列中選擇人員管理 > 使用者
  2. 使用者頁面上單擊目標使用者操作列中的添加授權
  3. 添加許可權對話方塊左側的系統策略中找到AliyunSTSAssumeRoleAccess策略,並單擊該策略,然後單擊確定

步驟五:使用企業B的RAM使用者跨帳號訪問資源

  1. 使用雲賬戶登入RAM控制台,在左側導覽列中選擇概覽
  2. 帳號管理地區單擊使用者登入地址連結。
    RAM帳號管理資訊地區
  3. 阿里雲-RAM使用者登入頁面上按照提示輸入登入使用者名稱稱,單擊下一步,然後輸入密碼並單擊登入
    RAM子使用者登入對話方塊
  4. 子使用者使用者中心頁面上,單擊互連網中介軟體類目下的Application Configuration Manangement進入ACM控制台。
  5. 登入成功後,將滑鼠指標移到右上方頭像,並在浮層中單擊切換身份
  6. 阿里雲-角色切換頁面,輸入企業A的企業別名Company-a(或預設網域名稱) 和角色名稱acm-admin,然後單擊切換
  7. 對企業A的ACM資源執行操作。