全部產品
Search

搜尋本產品

    ApsaraMQ for RabbitMQ:RAM跨雲帳號授權

    文件中心

    ApsaraMQ for RabbitMQ:RAM跨雲帳號授權

    更新時間:Jun 30, 2024

    藉助存取控制RAM的RAM角色,您可以跨雲帳號授權,使某個企業訪問另一個企業的雲訊息佇列 RabbitMQ 版

    背景資訊

    企業A開通了雲訊息佇列 RabbitMQ 版,該企業需要企業B代為操作雲訊息佇列 RabbitMQ 版的資源,例如執行個體、Topic、Consumer Group。企業A的需求如下:
    • 企業A希望能專註於業務系統,僅作為雲訊息佇列 RabbitMQ 版所有者。企業A希望可以授權企業B來操作部分業務,例如:雲訊息佇列 RabbitMQ 版的營運、監控以及管理等。
    • 企業A希望當企業B的員工加入或離職時,無需做任何許可權變更。企業B可以進一步將企業A的資源存取權限分配給企業B的RAM使用者(員工或應用),並可以精細控制其員工或應用對資源的訪問和操作許可權。
    • 企業A希望如果雙方合約終止,企業A隨時可以撤銷企業B的授權。

    步驟一:企業A建立RAM角色

    使用企業A的阿里雲帳號登入RAM控制台為企業B的阿里雲帳號建立RAM角色。

    1. 登入RAM控制台
    2. 在左側導覽列,單擊RAM角色管理
    3. RAM角色管理頁面,單擊建立RAM角色
    4. 建立RAM角色面板,選擇阿里雲帳號,單擊下一步
    5. 角色名稱文字框,輸入RAM角色名稱,在選擇雲帳號地區,選擇其他雲帳號,輸入企業B的阿里雲帳號的帳號ID,然後單擊完成
      說明
      • RAM角色名稱允許英文字母、數字和短劃線(-),長度不超過64個字元。
      • 帳號ID可以在帳號管理控制台的安全設定頁面查看。

    步驟二:企業A為RAM角色添加許可權

    為RAM角色添加需要授予給企業B的訪問雲訊息佇列 RabbitMQ 版的許可權。

    1. 在RAM控制台的左側導覽列,單擊RAM角色管理
    2. RAM角色管理頁面,找到建立的RAM角色,在其右側操作列,單擊添加許可權
    3. 添加許可權面板的選擇許可權地區,選擇策略類型,通過關鍵字搜尋需要添加的權限原則 ,並單擊權限原則將其添加至右側的已挑選清單中,然後單擊確定
      說明 支援授予的訪問雲訊息佇列 RabbitMQ 版的權限原則請參見RAM權限原則
    4. 添加許可權面板,查看授權資訊,然後單擊完成

    步驟三:企業B建立RAM使用者

    使用企業B的阿里雲帳號登入RAM控制台並建立RAM使用者。

    1. 登入RAM控制台
    2. 在左側導覽列,選擇人員管理 > 使用者
    3. 使用者頁面,單擊建立使用者
    4. 建立使用者頁面的使用者帳號資訊地區的登入名稱稱,輸入登入名稱稱,在顯示名稱文字框,輸入顯示名稱。
      說明
      • 登入名稱稱允許英文字母、數字、英文句號(.)、底線(_)和短劃線(-),長度不超過128個字元。
      • 顯示名稱長度不超過24個字元或漢字。
    5. 可選:如需建立多個RAM使用者,單擊添加使用者,重複上一步。
    6. 訪問方式地區,選擇訪問方式,然後單擊確定
      說明 為提高安全性,建議您只為RAM使用者選擇一種訪問方式。
      • 如果選擇控制台訪問,則需完成進一步設定,包括控制台密碼設定、登入時是否要求重設密碼、是否開啟多因素認證。
      • 如果選擇編程訪問,則RAM會自動為RAM使用者建立AccessKey。
        重要 出於安全考慮,RAM控制台只提供一次查看或下載AccessKey Secret的機會,即建立AccessKey時,因此請務必將AccessKey Secret記錄到安全的地方。
    7. 手機驗證對話方塊,單擊擷取驗證碼,輸入收到的手機驗證碼,然後單擊確定

    步驟四:企業B為RAM使用者添加許可權

    為RAM使用者添加AliyunSTSAssumeRoleAccess的許可權。

    1. 在RAM控制台的左側導覽列,選擇人員管理 > 使用者
    2. 使用者頁面,找到建立的RAM使用者,在其右側操作列,單擊添加許可權
    3. 添加許可權面板的選擇許可權地區,選擇系統策略,輸入AliyunSTSAssumeRoleAccess ,單擊該權限原則將其添加至右側的已挑選清單中,然後單擊確定
    4. 添加許可權面板,查看授權資訊,然後單擊完成

    後續步驟

    企業B的RAM使用者可以通過以下方式訪問企業A的雲訊息佇列 RabbitMQ 版

    • 控制台
      1. 在瀏覽器開啟RAM使用者登入入口
      2. RAM使用者登入頁面,輸入RAM使用者名稱稱,單擊下一步,輸入RAM使用者密碼,然後單擊登入
        說明 RAM使用者登入名稱稱的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號的ID。
      3. 在子使用者使用者中心頁面,將滑鼠指標移到右上方頭像,在浮層單擊切換身份
      4. 阿里雲-角色切換頁面,輸入企業A的企業別名或預設網域名稱,以及角色名稱,然後單擊切換
        說明
        • 企業別名:使用企業A的阿里雲帳號在阿里雲帳號使用者中心,將滑鼠指標移到右上方頭像,在浮層查看。
        • 預設網域名稱:使用企業A的阿里雲帳號在RAM控制台的設定頁面,單擊進階設定頁簽查看。
    • API
      1. 調用AssumeRole介面擷取AccessKey ID、AccessKey Secret和SecurityToken(臨時安全性權杖)。詳情請參見AssumeRole
      2. 在代碼中使用擷取的AccessKey ID、AccessKey Secret和SecurityToken(臨時安全性權杖)調用API訪問雲訊息佇列 RabbitMQ 版