全部產品
Search
文件中心

EventBridge:跨雲帳號授權

更新時間:Jul 06, 2024

使用企業A的阿里雲帳號(主帳號)建立RAM角色並為該角色授權,並將該角色賦予企業B,即可實現使用企業B的主帳號或其RAM使用者(子帳號)訪問企業A的阿里雲資源的目的。

背景資訊

企業A購買了事件匯流排EventBridge 服務來開展業務,並希望將部分業務授權給企業B。

需求說明:

  • A希望能專註於業務系統,僅作為資源Owner,而事件發布等任務委託或授權給企業B。
  • 企業A希望當企業B的員工加入或離職時,無需做任何許可權變更。企業B可以進一步將A的資源存取權限分配給B的RAM使用者(員工或應用),並可以精細控制其員工或應用對資源的訪問和操作許可權。
  • 企業A希望如果雙方合約終止,企業A隨時可以撤銷對企業B的授權。

操作步驟

  1. 首先需要使用企業A的阿里雲帳號(主帳號)登入RAM控制台並為企業B的雲帳號建立RAM角色。
  2. 可選:企業A為剛建立的RAM角色建立自訂策略。

    具體步驟參見建立自訂權限原則

    目前,事件匯流排EventBridge支援資源粒度的使用權限設定。詳情參見權限原則和樣本

  3. 新建立的角色沒有任何許可權,因此企業A必須為該角色添加許可權。可添加系統權限原則或自訂權限原則。
    具體步驟參見為RAM角色授權
  4. 使用企業B的阿里雲帳號(主帳號)登入RAM控制台並建立RAM使用者。

    具體步驟參見為企業B建立RAM使用者

  5. 企業B為RAM使用者添加AliyunSTSAssumeRoleAccess許可權。

    具體步驟參見為RAM使用者授權

    企業B必須為其主帳號下的RAM使用者添加AliyunSTSAssumeRoleAccess許可權,RAM使用者才能扮演企業A建立的RAM角色。

  6. 企業B的RAM使用者通過控制台或API訪問企業A的資源。
    具體步驟參見本文的後續步驟。

更多資訊

什麼是RAM

後續步驟

完成上述操作後,企業B的RAM使用者即可按照以下步驟登入控制台訪問企業A的雲資源或調用API。

  • 登入控制台訪問企業A的雲資源
    1. 在瀏覽器中開啟RAM使用者登入入口
    2. RAM使用者登入頁面上,輸入RAM使用者登入名稱稱,單擊下一步,並輸入RAM使用者密碼,然後單擊登入
      說明 RAM使用者登入名稱稱的格式為<$username>@<$AccountAlias><$username>@<$AccountAlias>.onaliyun.com<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號(主帳號)的ID。
    3. 在阿里雲控制台頁面上,將滑鼠指標移到右上方頭像,並在浮層中單擊切換身份
    4. 阿里雲-角色切換頁面,輸入企業A的企業別名預設網域名稱,以及角色名稱,然後單擊切換
    5. 對企業A的阿里雲資源執行操作。
  • 使用企業B的RAM使用者通過API訪問企業A的雲資源

    要使用企業B的RAM使用者通過API訪問企業A的雲資源,必須在代碼中提供RAM使用者的AccessKeyId、AccessKeySecret和SecurityToken(臨時安全性權杖)。使用STS擷取臨時安全性權杖的方法參見AssumeRole