邏輯編排使用服務角色的方式為使用者執行相關操作。對於RAM身份(RAM使用者和RAM角色)需要給邏輯編排進行服務角色授權的情況,請按本文檔為對應RAM身份進行授權。
背景資訊
在工作流程執行過程中,邏輯編排會通過扮演使用者授予的服務角色,通過API去訪問對應的資源。對於當前阿里雲帳號,只需按照邏輯編排提供的選擇服務角色流程完成相應服務角色的綁定即可。對於RAM相關的身份,如果需要編輯工作流程並需要使用阿里雲相關的操作,則需要提前為該RAM身份授權,以便該RAM身份能夠在編輯過程中為邏輯編排進行服務角色授權。RAM使用者、RAM角色等相關概念請參考身份管理相關概念。
對於一個確定的RAM身份,根據該身份擁有的許可權,分為三種情況:
該RAM身份沒有RAM相關許可權
該RAM身份有RAM唯讀許可權
該RAM身份有RAM所有許可權
接下來會針對這三種情況進行操作說明,操作過程涉及到兩種角色:
管理員:當前阿里雲帳號管理員或有RAM許可權的RAM身份。
開發人員:某個RAM使用者或角色,至少擁有邏輯編排相關的許可權,需要編輯工作流程並使用到了阿里雲相關的操作。操作過程以RAM使用者為例,RAM角色同理。
RAM使用者沒有RAM許可權
管理員操作步驟
登入 阿里雲 RAM 控制台。
在RAM控制台的 角色 頁面可以查看您當前需要使用的服務角色。如果您沒有建立過服務角色,請先建立服務角色,建立方法請參見 建立可信實體為阿里雲服務的RAM角色。注意這裡 受信服務 需要選擇 邏輯編排,角色名稱 可根據您的需要命名(本例以 AliyunLogicComposerDefaultRole 為角色名稱)。
為第二步建立的角色授權,這裡可以提前和開發人員溝通,確認工作流程中需要的許可權,建立方法請參見 為RAM角色授權。
在 RAM 控制台的 權限原則 頁面為RAM使用者建立自訂策略,建立方法請參見 建立自訂權限原則,自訂策略中需要添加如下許可權:
{
"Statement": [
{
"Action": "ram:PassRole",
"Resource": "acs:ram::<your uid>:role/<role name>",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"acs:Service": "composer.aliyuncs.com"
}
}
}
],
"Version": "1"
}
Resource 可以通過 查看RAM角色,複製上述第2步中對應服務角色詳情頁上 ARN 即可。
5. 在 RAM 控制台的 RAM概覽 頁面找到開發人員對應的RAM使用者,給RAM使用者賦予第4步建立的 權限原則,建立方法請參見 為RAM使用者授權。
6. 複製第二步建立的角色名稱,並告知開發人員。
開發人員操作步驟
在工作流程彈出的授權面板中填入管理員提供的角色名稱即可(本例中使用 AliyunLogicComposerDefaultRole)。
RAM使用者有RAM唯讀許可權
管理員操作步驟
登入阿里雲RAM控制台。
在RAM控制台的角色管理頁面可以查看您當前需要使用的服務角色。如果您沒有建立過服務角色,請先建立服務角色,建立方法請參見 建立可信實體為阿里雲服務的RAM角色。注意這裡 受信服務 需要選擇 邏輯編排,角色名稱 可根據您的需要命名(本例以 AliyunLogicComposerDefaultRole 為角色名稱)。
為第二步建立的角色授權,這裡可以提前和開發人員溝通,確認需要的許可權,建立方法請參見 為RAM角色授權。
開發人員操作步驟
RAM使用者直接在工作流程授權面板中直接選擇第二步建立的角色,以 AliyunLogicComposerDefaultRole 為例(注意:RAM使用者只有隻讀許可權的情境下,不能在該流程中繼續為服務角色添加許可權,需有許可權的RAM使用者或阿里雲帳號主動為該服務角色授權)。
RAM使用者有RAM讀寫權限
管理員操作步驟
無需操作
開發人員操作步驟
直接在工作流程授權面板中按頁面提示流程進行服務角色建立(或選擇已有服務角色)並進行授權即可。