全部產品
Search
文件中心

Elastic Container Instance:通過API使用執行個體RAM角色

更新時間:Jul 06, 2024

執行個體RAM角色允許您將一個角色關聯到ECI執行個體,在執行個體內部基於STS(Security Token Service)臨時憑證訪問其他雲產品的API。本文介紹如何通過API建立、授權執行個體RAM角色,並將該角色授予給ECI執行個體。

應用情境

ECI執行個體上部署的應用程式在雲產品通訊中,通過雲帳號或者RAM使用者的AccessKey訪問阿里雲其他雲產品(例如OSS、VPC、RDS等)的API。為了方便和快速地調用,部分使用者直接把AccessKey固化在執行個體中,例如直接寫在設定檔中。這種方式存在許可權過高、泄露資訊和難以維護等問題。執行個體RAM角色能夠避免此類問題。

RAM角色是一種具備某些許可權的虛擬使用者,可以被ECI執行個體扮演,從而使得ECI執行個體獲得相應的許可權。使用RAM角色,無需在執行個體中儲存AccessKey,通過修改RAM角色的許可權即可變更ECI執行個體的許可權,在使用上安全便捷。更多關於RAM角色的資訊,請參見RAM角色概覽

使用流程

使用執行個體RAM角色的步驟如下:

  1. 建立執行個體RAM角色

    調用CreateRole建立執行個體RAM角色,設定允許扮演該角色的可信實體為ECI服務(受信服務為Elastic Compute Service)。

  2. 授權執行個體RAM角色

    根據需要調用CreatePolicy建立權限原則,然後調用AttachPolicyToRole將該權限原則授予給執行個體RAM角色。

  3. (可選)授權RAM使用者使用執行個體RAM角色

    如果您使用RAM使用者建立ECI執行個體並指定執行個體RAM角色,則必須先授權RAM使用者可以使用執行個體RAM角色。

  4. 為ECI執行個體授予執行個體RAM角色

    調用CreateContainerGroup建立ECI執行個體,通過RamRoleName參數為ECI執行個體授予執行個體RAM角色,使得ECI執行個體獲得對應的許可權。一個ECI執行個體只能授予一個執行個體RAM角色。

  5. 擷取STS Token

    為ECI執行個體授予了執行個體RAM角色後,如果需要在ECI執行個體內部部署的應用程式中訪問雲產品的API,您需要通過執行個體中繼資料擷取執行個體RAM角色的STS Token。

建立執行個體RAM角色

調用CreateRole可以建立一個執行個體RAM角色。具體參數資訊,請參見CreateRole

您可以自訂設定RoleName來指定角色名稱(假設為ECIRamRoleTest),然後按如下策略文本設定AssumeRolePolicyDocument。

{
"Statement": [
{
  "Action": "sts:AssumeRole",
  "Effect": "Allow",
  "Principal": {
    "Service": [
      "ecs.aliyuncs.com"
    ]
  }
}
],
"Version": "1"
}

授權執行個體RAM角色

  1. 調用CreatePolicy建立一個自訂權限原則。

    調用時,需設定以下參數:

    • PolicyName:權限原則名稱(假設為ECIRamRoleTestPolicy)。

    • PolicyDocument:權限原則內容。

      {
           "Statement": [
               {
               "Action": [
                   "oss:Get*",
                   "oss:List*"
               ],
               "Effect": "Allow",
               "Resource": "*"
               }
           ],
           "Version": "1"
       }

    更多資訊,請參見CreatePolicy

  2. 調用AttachPolicyToRole為RAM角色添加權限原則。

    調用時,需設定以下參數:

    • PolicyName:指定權限原則名稱,例如ECIRamRoleTestPolicy。

    • PolicyType:權限原則類型,配置為Custom,表示是自訂權限原則。

    • RoleName:指定RAM角色,例如ECIRamRoleTest。

    更多資訊,請參見AttachPolicyToRole

授權RAM使用者使用執行個體RAM角色

如果您使用RAM使用者,則必須先授權RAM使用者具備該執行個體RAM角色的ram:PassRole許可權,RAM使用者才可以使用執行個體RAM角色。ram:PassRole許可權決定RAM使用者能否直接執行角色策略賦予的許可權。

  1. 使用阿里雲帳號(或者具備系統管理權限的RAM使用者)登入RAM控制台

  2. 授權RAM使用者使用執行個體RAM角色。

    授權時,請建立以下自訂權限原則,並將其授權給RAM使用者。其中,ECIRamRoleTest為要授權的ram:PassRole許可權的執行個體RAM角色。具體操作,請參見為RAM使用者授權

    {
       "Statement": [
        {
          "Effect": "Allow",
          "Action": "ram:PassRole",
          "Resource": "acs:ram:*:*:role/ECIRamRoleTest" 
        }
      ],
      "Version": "1"
    }                

為ECI執行個體授予執行個體RAM角色

調用CreateContainerGroup建立ECI執行個體時,可以通過RamRoleName參數來指定RAM角色。更多資訊,請參見CreateContainerGroup

說明

一個ECI執行個體只能授予一個執行個體RAM角色。如果ECI執行個體已有RAM角色,則會報錯提示您不能附加新的角色。

擷取STS Token

在ECI執行個體內部,您可以訪問中繼資料URL來擷取RAM角色的STS Token,該STS Token可以執行RAM角色的許可權和資源,並且該STS Token會自動周期性地更新。

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/${your_ram_role_name}

請使用實際RAM角色名稱替換${your_ram_role_name},假設RAM角色名稱為ECIRamRoleTest,命令樣本如下:

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ECIRamRoleTest

返回結果中可以擷取STS Token,樣本如下:

{
  "AccessKeyId" : "STS.******",
  "AccessKeySecret" : "******",
  "Expiration" : "2023-06-22T19:13:58Z",
  "SecurityToken" : "******",
  "LastUpdated" : "2023-06-22T13:13:58Z",
  "Code" : "Success"
}

基於STS Token訪問雲端服務

以下樣本以使用Go SDK訪問OSS為例介紹如何基於STS Token訪問雲端服務,該樣本可以實現基於STS Token訪問某個OSS Bucket並列舉其中的所有檔案。

說明

該樣本僅用於示範基於STS Token訪問雲端服務的方法,實際情境中請根據自身業務編寫代碼,具體請參考您要使用的雲端服務的SDK。

package main

import (
	"encoding/json"
	"flag"
	"log"
	"os/exec"

	"github.com/aliyun/aliyun-oss-go-sdk/oss"
)

const (
	securityCredUrl = "http://100.100.100.200/latest/meta-data/ram/security-credentials/"
)

var (
	ossEndpoint   string
	ossBucketName string
)

func init() {
	flag.StringVar(&ossEndpoint, "endpoint", "oss-cn-hangzhou-internal.aliyuncs.com", "Please input oss endpoint, Recommended internal endpoint, eg: oss-cn-hangzhou-internal.aliyuncs.com")
	flag.StringVar(&ossBucketName, "bucket", "", "Please input oss bucket name")
}

type AssumedRoleUserCredentialsWithServiceIdentity struct {
	AccessKeyId     string `json:"AccessKeyId" xml:"AccessKeyId"`
	AccessKeySecret string `json:"AccessKeySecret" xml:"AccessKeySecret"`
	Expiration      string `json:"Expiration" xml:"Expiration"`
	SecurityToken   string `json:"SecurityToken" xml:"SecurityToken"`
	LastUpdated     string `json:"LastUpdated" xml:"LastUpdated"`
	Code            string `json:"Code" xml:"Code"`
}

func main() {
	flag.Parse()

	if ossEndpoint == "" {
		log.Fatal("Please input oss endpoint, eg: oss-cn-hangzhou-internal.aliyuncs.com")
	}
	if ossBucketName == "" {
		log.Fatal("Please input oss endpoint")
	}

	output, err := exec.Command("curl", securityCredUrl).Output()
	if err != nil {
		log.Fatalf("Failed to get ramrole name from metaserver: %s", err)
	}

	output, err = exec.Command("curl", securityCredUrl+string(output)).Output()
	if err != nil {
		log.Fatalf("Failed to get security credentials from metaserver: %s", err)
	}

	authServiceIdentity := new(AssumedRoleUserCredentialsWithServiceIdentity)
	if err := json.Unmarshal(output, authServiceIdentity); err != nil {
		log.Fatalf("Failed to Unmarshal to AssumedRoleUserCredentialsWithServiceIdentity: %s", err)
	}

	// 建立OSS Client執行個體, 生產環境使用需要定時更新OSS Client,防止SecurityToken到期訪問雲產品失敗
	ossClient, err := oss.New(ossEndpoint, authServiceIdentity.AccessKeyId,
		authServiceIdentity.AccessKeySecret, oss.SecurityToken(authServiceIdentity.SecurityToken))
	if err != nil {
		log.Fatalf("Failed to new oss client: %s", err)
	}

	// 擷取儲存空間
	bucket, err := ossClient.Bucket(ossBucketName)
	if err != nil {
		log.Fatalf("Failed to get bucket %q: %s", ossBucketName, err)
	}

	// 列舉儲存空間中檔案
	marker := ""
	for {
		lsRes, err := bucket.ListObjects(oss.Marker(marker))
		if err != nil {
			log.Fatalf("Failed to list object from bucket %q: %s", ossBucketName, err)
		}
		// 列印列舉檔案,預設情況下一次返回100條記錄。
		for _, object := range lsRes.Objects {
			log.Println("Bucket: ", object.Key)
		}
		if lsRes.IsTruncated {
			marker = lsRes.NextMarker
		} else {
			break
		}
	}
}