使用企業A的阿里雲帳號(主帳號)建立RAM角色並為該角色授權,並將該角色賦予企業B,即可實現使用企業B的主帳號或其RAM使用者(子帳號)訪問企業A的阿里雲資源的目的。
背景資訊
企業A購買了事件匯流排EventBridge 服務來開展業務,並希望將部分業務授權給企業B。
需求說明:
- A希望能專註於業務系統,僅作為資源Owner,而事件發布等任務委託或授權給企業B。
- 企業A希望當企業B的員工加入或離職時,無需做任何許可權變更。企業B可以進一步將A的資源存取權限分配給B的RAM使用者(員工或應用),並可以精細控制其員工或應用對資源的訪問和操作許可權。
- 企業A希望如果雙方合約終止,企業A隨時可以撤銷對企業B的授權。
操作步驟
- 首先需要使用企業A的阿里雲帳號(主帳號)登入RAM控制台並為企業B的雲帳號建立RAM角色。具體步驟參見建立可信實體為阿里雲帳號的RAM角色。
- 可選:企業A為剛建立的RAM角色建立自訂策略。
- 新建立的角色沒有任何許可權,因此企業A必須為該角色添加許可權。可添加系統權限原則或自訂權限原則。具體步驟參見為RAM角色授權。
- 使用企業B的阿里雲帳號(主帳號)登入RAM控制台並建立RAM使用者。
具體步驟參見為企業B建立RAM使用者。
- 企業B為RAM使用者添加AliyunSTSAssumeRoleAccess許可權。
具體步驟參見為RAM使用者授權。
企業B必須為其主帳號下的RAM使用者添加AliyunSTSAssumeRoleAccess許可權,RAM使用者才能扮演企業A建立的RAM角色。
- 企業B的RAM使用者通過控制台或API訪問企業A的資源。具體步驟參見本文的後續步驟。
更多資訊
後續步驟
完成上述操作後,企業B的RAM使用者即可按照以下步驟登入控制台訪問企業A的雲資源或調用API。
- 登入控制台訪問企業A的雲資源
- 在瀏覽器中開啟RAM使用者登入入口。
- 在RAM使用者登入頁面上,輸入RAM使用者登入名稱稱,單擊下一步,並輸入RAM使用者密碼,然後單擊登入。 說明 RAM使用者登入名稱稱的格式為
<$username>@<$AccountAlias>或<$username>@<$AccountAlias>.onaliyun.com。<$AccountAlias>為帳號別名,如果沒有設定帳號別名,則預設值為阿里雲帳號(主帳號)的ID。 - 在阿里雲控制台頁面上,將滑鼠指標移到右上方頭像,並在浮層中單擊切換身份。
- 在阿里雲-角色切換頁面,輸入企業A的企業別名或預設網域名稱,以及角色名稱,然後單擊切換。
- 對企業A的阿里雲資源執行操作。
- 使用企業B的RAM使用者通過API訪問企業A的雲資源
要使用企業B的RAM使用者通過API訪問企業A的雲資源,必須在代碼中提供RAM使用者的AccessKeyId、AccessKeySecret和SecurityToken(臨時安全性權杖)。使用STS擷取臨時安全性權杖的方法參見AssumeRole。