全部產品
Search

搜尋本產品

    Resource Orchestration Service:步驟一:授權自助系統管理權限

    文件中心

    Resource Orchestration Service:步驟一:授權自助系統管理權限

    更新時間:Feb 05, 2024

    當您建立自助系統管理權限模式的資源棧組時,需要事先在管理員帳號和目標帳號中手動建立RAM角色,建立二者的信任關係,然後在目標帳號中部署資源棧。

    背景資訊

    授權自助系統管理權限時,您需要為下表所示的阿里雲帳號分別建立RAM角色並授權:

    阿里雲帳號

    RAM角色

    權限原則

    權限原則說明

    管理員帳號

    AliyunROSStackGroupAdministrationRole

    自訂策略AssumeRole-AliyunROSStackGroupExecutionRole

    允許RAM角色(AliyunROSStackGroupAdministrationRole)扮演角色身份(AliyunROSStackGroupExecutionRole)。

    目標帳號

    AliyunROSStackGroupExecutionRole

    系統策略AdministratorAccess

    允許RAM角色(AliyunROSStackGroupExecutionRole)管理目標帳號的所有阿里雲資源。

    說明

    管理員帳號和目標帳號可以為同一阿里雲帳號。關於管理員帳號和目標帳號的更多資訊,請參見概覽

    授權成功後,當您使用管理員帳號登入Resource Orchestration Service控制台建立資源棧組後,即可在該資源棧組中為目標帳號建立資源棧。

    方式一:通過RAM控制台設定許可權

    1. 設定目標帳號的許可權。

      1. 使用目標帳號登入RAM控制台

      2. 為目標帳號建立可信實體為管理員帳號的RAM角色(AliyunROSStackGroupExecutionRole)。

        1. 在左側導覽列,選擇身份管理 > 角色

        2. 角色頁面,單擊建立角色

        3. 建立角色頁面,選擇可信實體類型為阿里雲帳號,然後單擊下一步

        4. 設定角色資訊。

          1. 輸入角色名稱AliyunROSStackGroupExecutionRole

          2. 輸入備忘

          3. 選擇信任的雲帳號為其他雲帳號,最後輸入管理員帳號的ID。

        5. 單擊完成

        6. 單擊關閉

      3. 為RAM角色(AliyunROSStackGroupExecutionRole)授予AdministratorAccess許可權。

        1. 角色頁面,單擊RAM角色(AliyunROSStackGroupExecutionRole)操作列的新增授權

        2. 新增授權面板,授權主體會自動填入,選擇授權範圍整個雲帳號

        3. 選擇許可權為系統策略,然後選擇AdministratorAccess

        4. 單擊確定

        5. 單擊完成

    2. 設定管理員帳號的許可權。

      1. 使用管理員帳號登入RAM控制台

      2. 為管理員帳號建立可信實體為Resource Orchestration Service服務的RAM角色(AliyunROSStackGroupAdministrationRole)。

        1. 在左側導覽列,選擇身份管理 > 角色

        2. 角色頁面,單擊建立角色

        3. 建立角色頁面,選擇可信實體類型為阿里雲服務,然後單擊下一步

        4. 選擇角色類型普通服務角色

        5. 設定角色資訊。

          1. 輸入角色名稱AliyunROSStackGroupAdministrationRole

          2. 輸入備忘

          3. 選擇受信服務為Resource Orchestration Service服務

        6. 單擊完成

        7. 單擊關閉

      3. 建立自訂權限原則(AssumeRole-AliyunROSStackGroupExecutionRole)。

        1. 在左側導覽列,選擇許可權管理 > 權限原則

        2. 權限原則頁面,單擊建立權限原則

        3. 建立權限原則頁面,單擊指令碼編輯頁簽,輸入以下策略內容,然後單擊繼續編輯基本資料。輸入權限原則名稱為AssumeRole-AliyunROSStackGroupExecutionRole

          該策略允許RAM角色(AliyunROSStackGroupAdministrationRole)扮演角色身份(AliyunROSStackGroupExecutionRole)。 

          {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "acs:ram::*:role/AliyunROSStackGroupExecutionRole"
    }
  ],
  "Version": "1"
}

        4. 單擊確定

      4. 為RAM角色(AliyunROSStackGroupAdministrationRole)授予AssumeRole-AliyunROSStackGroupExecutionRole許可權。

        1. 在左側導覽列,選擇身份管理 > 角色

        2. 角色頁面,單擊RAM角色(AliyunROSStackGroupAdministrationRole)操作列的新增授權

        3. 新增授權面板,授權主體會自動填入,選擇授權範圍整個雲帳號

        4. 選擇許可權為自訂策略,然後選擇AssumeRole-AliyunROSStackGroupExecutionRole

        5. 單擊確定

    方式二:通過Resource Orchestration Service控制台設定許可權

    通過Resource Orchestration Service模板為管理員帳號和目標帳號建立RAM角色,並賦予資源棧組和資源棧的操作許可權。

    1. 管理員帳號登入Resource Orchestration Service控制台,使用模板AliyunROSStackGroupAdministrationRole建立RAM角色並授權。

    2. 目標帳號登入Resource Orchestration Service控制台,使用模板AliyunROSStackGroupExecutionRole建立RAM角色並授權。