全部產品
Search
文件中心

CloudSSO:配置RAM使用者同步

更新時間:Dec 21, 2024

您可以配置RAM使用者同步,在目標RD帳號中同步建立一個與雲SSO使用者同名的RAM使用者,然後通過該RAM使用者訪問該RD帳號中的資源。

背景資訊

本文將提供一個樣本,通過配置RAM使用者同步,在RD成員(Sandbox_Account)中建立一個與雲SSO使用者(user1)同名的RAM使用者(user1@xxx.onaliyun.com),然後為RAM使用者(user1@xxx.onaliyun.com)授予雲原生MaxCompute的系統管理權限(AliyunMaxComputeFullAccess),實現通過RAM使用者(user1@xxx.onaliyun.com)身份訪問RD成員(Sandbox_Account)中的雲原生MaxCompute。

步驟一:配置RAM使用者同步

使用RD管理帳號在雲SSO中配置RAM使用者同步。

  1. 登入雲SSO控制台

  2. 在左側導覽列,單擊多帳號許可權管理

  3. 多帳號許可權管理頁面,選擇目標RD帳號,然後單擊配置RAM使用者同步

    本樣本中,選擇RD成員(Sandbox_Account)。

    image

  4. 配置RAM使用者同步面板,選擇目標雲SSO使用者或雲SSO使用者組,然後單擊下一步

    本樣本中,選擇雲SSO使用者(user1)。如果選擇雲SSO使用者組,則會同步該雲SSO使用者組中的所有雲SSO使用者。

    image

  5. 設定以下基本資料,然後單擊下一步

    1. 輸入RAM使用者同步的描述。

    2. 處理模式地區,選擇逐條處理批量處理

      • 逐條處理:為多個RD帳號逐條配置衝突策略和刪除策略。

      • 批量處理:為多個RD帳號統一配置衝突策略和刪除。

    3. 配置衝突策略刪除策略

      • 衝突策略:當目標RD帳號記憶體在同名RAM使用者時的處理策略。

        • 替換:新建立的RAM使用者會覆蓋已存在的RAM使用者。覆蓋舊的RAM使用者,不會改變RAM使用者的許可權、基礎資訊、ID等,只會影響它的登入方式(同步的RAM使用者只能通過雲SSO的訪問方式登入,不支援RAM使用者名稱密碼登入。)

        • 兩者都保留:新建立的RAM使用者會被系統重新命名,新舊兩個RAM使用者會同時保留。

      • 刪除策略:刪除RAM使用者同步時,對已同步的RAM使用者的處理策略。

        • 保留:刪除RAM使用者同步時,會保留已同步的RAM使用者。

        • 刪除:刪除RAM使用者同步時,會刪除已同步的RAM使用者。

  6. 單擊提交

  7. 單擊完成

配置成功後,會在目標RD帳號內建立一個同名的RAM使用者。本樣本中,將會在RD成員(Sandbox_Account)中同步建立一個與雲SSO使用者(user1)同名的RAM使用者(user1@xxx.onaliyun.com)。

image

步驟二:為RAM使用者授權

訪問RD成員(Sandbox_Account),為RAM使用者(user1@xxx.onaliyun.com)授予雲原生MaxCompute的系統管理權限(AliyunMaxComputeFullAccess)。

  1. 訪問RD成員(Sandbox_Account)。

    具體操作,請參見成員登入阿里雲控制台

  2. 為RAM使用者(user1@xxx.onaliyun.com)授權。

    本樣本中,將授予RAM使用者(user1@xxx.onaliyun.com)雲原生MaxCompute的系統管理權限(AliyunMaxComputeFullAccess)。具體操作,請參見為RAM使用者授權

說明

除上述操作方法外,為了方便您的操作,推薦您將某個雲SSO使用者佈建為許可權管理員,專門用來為目標RD帳號中同步的RAM使用者添加許可權。您可以在雲SSO建立訪問配置(包含AliyunRAMFullAccess許可權),然後為許可權管理員在多個目標RD成員帳號上部署該訪問配置,實現許可權管理員可以為目標RD帳號中的RAM使用者授權。具體操作,請參見建立訪問配置在RD帳號上授權

步驟三:雲SSO使用者訪問阿里雲

雲SSO使用者(user1)通過RAM使用者(user1@xxx.onaliyun.com)身份訪問RD成員(Sandbox_Account)中的雲原生MaxCompute。

  1. 雲SSO使用者(user1)登入雲SSO使用者門戶。

  2. 以RAM使用者身份訪問RD成員(Sandbox_Account)中的雲原生MaxCompute。

    具體操作,請參見步驟三:訪問RD帳號資源中的以RAM使用者登入章節。

    image