全部產品
Search
文件中心

Resource Access Management:修改RAM角色的信任策略

更新時間:Dec 05, 2024

通過修改RAM角色的信任策略內容,可以修改RAM角色的可信實體。本文通過樣本為您介紹如何修改RAM角色的可信實體為阿里雲帳號、阿里雲服務或身份供應商。

背景資訊

建立RAM角色時,您可以直接選擇RAM角色的可信實體為阿里雲帳號、阿里雲服務或身份供應商。一般情況下,建立RAM角色後,您不需要主動修改RAM角色的可信實體。如果某些特殊情境下確有需要,您可以通過本文所述的幾種方式修改。

警告

修改RAM角色信任策略中的可信實體,會變更可信對象,可能會影響業務正常運行。請務必在測試帳號充分測試,確保功能正常使用後,再應用到正式生產帳號。

操作步驟

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊目標RAM角色名稱。

  4. 信任策略頁簽,單擊編輯信任策略

    image

  5. 修改信任策略內容,然後單擊儲存信任策略

樣本一:修改RAM角色的可信實體為阿里雲帳號

Principal中有RAM欄位,表示該RAM角色的可信實體為阿里雲帳號,即可以被可信阿里雲帳號下的RAM使用者、RAM角色扮演。

  • RAM角色可以被可信阿里雲帳號下的所有RAM使用者、RAM角色扮演

    以下述信任策略為例:該RAM角色可以被阿里雲帳號(AccountID=123456789012****)下的所有RAM使用者、RAM角色扮演。

    {
        "Statement": [
            {
                "Action": "sts:AssumeRole",
                "Effect": "Allow",
                "Principal": {
                    "RAM": [
                        "acs:ram::123456789012****:root"
                    ]
                }
            }
        ],
        "Version": "1"
    }
  • RAM角色只能被可信阿里雲帳號下的指定RAM使用者扮演

    若您將Principal中的內容更改如下,則表示該RAM角色可以被阿里雲帳號(AccountID=123456789012****)下的RAM使用者testuser扮演。

                "Principal": {
                    "RAM": [
                        "acs:ram::123456789012****:user/testuser"
                    ]
                }                   
    說明

    修改此信任策略時,請確保已建立好對應RAM使用者testuser

  • RAM角色只能被可信阿里雲帳號下的指定RAM角色扮演

    若您將Principal中的內容更改如下,則表示該RAM角色可以被阿里雲帳號(AccountID=123456789012****)下的RAM角色testrole扮演。

                "Principal": {
                    "RAM": [
                        "acs:ram::123456789012****:role/testrole"                
                    ]
                }                                 
    說明

    修改此信任策略時,請確保已建立好對應RAM角色testrole

樣本二:修改RAM角色的可信實體為阿里雲服務

Principal中有Service欄位,表示該RAM角色的可信實體為阿里雲服務,即可以被可信阿里雲服務扮演。

以下述信任策略為例:該RAM角色可以被當前阿里雲帳號下的ECS服務扮演。

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ecs.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}
說明

服務關聯角色的信任策略由關聯的雲端服務定義,您不能修改服務關聯角色的信任策略。更多資訊,請參見服務關聯角色

樣本三:修改RAM角色的可信實體為身份供應商

Principal中有Federated欄位,表示該RAM角色的可信實體為身份供應商,即可以被可信身份供應商下的使用者扮演。

以下述信任策略為例:該RAM角色可以被當前阿里雲帳號(AccountID=123456789012****)中的身份供應商testprovider下的使用者扮演。

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Federated": [
                    "acs:ram::123456789012****:saml-provider/testprovider"
                ]
            },
            "Condition":{
                "StringEquals":{
                    "saml:recipient":"https://signin.alibabacloud.com/saml-role/sso"
                }
            }
        }
    ],
    "Version": "1"
}