通過修改RAM角色的信任策略內容,可以修改RAM角色的可信實體。本文通過樣本為您介紹如何修改RAM角色的可信實體為阿里雲帳號、阿里雲服務或身份供應商。
背景資訊
建立RAM角色時,您可以直接選擇RAM角色的可信實體為阿里雲帳號、阿里雲服務或身份供應商。一般情況下,建立RAM角色後,您不需要主動修改RAM角色的可信實體。如果某些特殊情境下確有需要,您可以通過本文所述的幾種方式修改。
修改RAM角色信任策略中的可信實體,會變更可信對象,可能會影響業務正常運行。請務必在測試帳號充分測試,確保功能正常使用後,再應用到正式生產帳號。
操作步驟
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在角色頁面,單擊目標RAM角色名稱。
在信任策略頁簽,單擊編輯信任策略。
修改信任策略內容,然後單擊儲存信任策略。
樣本一:修改RAM角色的可信實體為阿里雲帳號
若Principal
中有RAM
欄位,表示該RAM角色的可信實體為阿里雲帳號,即可以被可信阿里雲帳號下的RAM使用者、RAM角色扮演。
RAM角色可以被可信阿里雲帳號下的所有RAM使用者、RAM角色扮演
以下述信任策略為例:該RAM角色可以被阿里雲帳號(AccountID=123456789012****)下的所有RAM使用者、RAM角色扮演。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::123456789012****:root" ] } } ], "Version": "1" }
RAM角色只能被可信阿里雲帳號下的指定RAM使用者扮演
若您將
Principal
中的內容更改如下,則表示該RAM角色可以被阿里雲帳號(AccountID=123456789012****)下的RAM使用者testuser
扮演。"Principal": { "RAM": [ "acs:ram::123456789012****:user/testuser" ] }
說明修改此信任策略時,請確保已建立好對應RAM使用者
testuser
。RAM角色只能被可信阿里雲帳號下的指定RAM角色扮演
若您將
Principal
中的內容更改如下,則表示該RAM角色可以被阿里雲帳號(AccountID=123456789012****)下的RAM角色testrole
扮演。"Principal": { "RAM": [ "acs:ram::123456789012****:role/testrole" ] }
說明修改此信任策略時,請確保已建立好對應RAM角色
testrole
。
樣本二:修改RAM角色的可信實體為阿里雲服務
若Principal
中有Service
欄位,表示該RAM角色的可信實體為阿里雲服務,即可以被可信阿里雲服務扮演。
以下述信任策略為例:該RAM角色可以被當前阿里雲帳號下的ECS服務扮演。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}
],
"Version": "1"
}
服務關聯角色的信任策略由關聯的雲端服務定義,您不能修改服務關聯角色的信任策略。更多資訊,請參見服務關聯角色。
樣本三:修改RAM角色的可信實體為身份供應商
若Principal
中有Federated
欄位,表示該RAM角色的可信實體為身份供應商,即可以被可信身份供應商下的使用者扮演。
以下述信任策略為例:該RAM角色可以被當前阿里雲帳號(AccountID=123456789012****)中的身份供應商testprovider
下的使用者扮演。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::123456789012****:saml-provider/testprovider"
]
},
"Condition":{
"StringEquals":{
"saml:recipient":"https://signin.alibabacloud.com/saml-role/sso"
}
}
}
],
"Version": "1"
}