當您建立自助系統管理權限模式的資源棧組時,需要事先在管理員帳號和目標帳號中手動建立RAM角色,建立二者的信任關係,然後在目標帳號中部署資源棧。
背景資訊
授權自助系統管理權限時,您需要為下表所示的阿里雲帳號分別建立RAM角色並授權:
阿里雲帳號 | RAM角色 | 權限原則 | 權限原則說明 |
管理員帳號 | AliyunROSStackGroupAdministrationRole | 自訂策略AssumeRole-AliyunROSStackGroupExecutionRole | 允許RAM角色(AliyunROSStackGroupAdministrationRole)扮演角色身份(AliyunROSStackGroupExecutionRole)。 |
目標帳號 | AliyunROSStackGroupExecutionRole | 系統策略AdministratorAccess | 允許RAM角色(AliyunROSStackGroupExecutionRole)管理目標帳號的所有阿里雲資源。 |
管理員帳號和目標帳號可以為同一阿里雲帳號。關於管理員帳號和目標帳號的更多資訊,請參見概覽。
授權成功後,當您使用管理員帳號登入Resource Orchestration Service控制台建立資源棧組後,即可在該資源棧組中為目標帳號建立資源棧。
方式一:通過RAM控制台設定許可權
設定目標帳號的許可權。
使用目標帳號登入RAM控制台。
為目標帳號建立可信實體為管理員帳號的RAM角色(AliyunROSStackGroupExecutionRole)。
在左側導覽列,選擇
。在角色頁面,單擊建立角色。
在建立角色頁面,選擇可信實體類型為阿里雲帳號,然後單擊下一步。
設定角色資訊。
輸入角色名稱為AliyunROSStackGroupExecutionRole。
輸入備忘。
選擇信任的雲帳號為其他雲帳號,最後輸入管理員帳號的ID。
單擊完成。
單擊關閉。
為RAM角色(AliyunROSStackGroupExecutionRole)授予AdministratorAccess許可權。
在角色頁面,單擊RAM角色(AliyunROSStackGroupExecutionRole)操作列的新增授權。
在新增授權面板,授權主體會自動填入,選擇授權範圍為整個雲帳號。
選擇許可權為系統策略,然後選擇AdministratorAccess。
單擊確定。
單擊完成。
設定管理員帳號的許可權。
使用管理員帳號登入RAM控制台。
為管理員帳號建立可信實體為Resource Orchestration Service服務的RAM角色(AliyunROSStackGroupAdministrationRole)。
在左側導覽列,選擇
。在角色頁面,單擊建立角色。
在建立角色頁面,選擇可信實體類型為阿里雲服務,然後單擊下一步。
選擇角色類型為普通服務角色。
設定角色資訊。
輸入角色名稱為AliyunROSStackGroupAdministrationRole。
輸入備忘。
選擇受信服務為Resource Orchestration Service服務。
單擊完成。
單擊關閉。
建立自訂權限原則(AssumeRole-AliyunROSStackGroupExecutionRole)。
在左側導覽列,選擇
。在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽,輸入以下策略內容,然後單擊繼續編輯基本資料。輸入權限原則名稱為AssumeRole-AliyunROSStackGroupExecutionRole。
該策略允許RAM角色(AliyunROSStackGroupAdministrationRole)扮演角色身份(AliyunROSStackGroupExecutionRole)。
{ "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "acs:ram::*:role/AliyunROSStackGroupExecutionRole" } ], "Version": "1" }
單擊確定。
為RAM角色(AliyunROSStackGroupAdministrationRole)授予AssumeRole-AliyunROSStackGroupExecutionRole許可權。
在左側導覽列,選擇
。在角色頁面,單擊RAM角色(AliyunROSStackGroupAdministrationRole)操作列的新增授權。
在新增授權面板,授權主體會自動填入,選擇授權範圍為整個雲帳號。
選擇許可權為自訂策略,然後選擇AssumeRole-AliyunROSStackGroupExecutionRole。
單擊確定。
方式二:通過Resource Orchestration Service控制台設定許可權
通過Resource Orchestration Service模板為管理員帳號和目標帳號建立RAM角色,並賦予資源棧組和資源棧的操作許可權。
管理員帳號登入Resource Orchestration Service控制台,使用模板AliyunROSStackGroupAdministrationRole建立RAM角色並授權。
目標帳號登入Resource Orchestration Service控制台,使用模板AliyunROSStackGroupExecutionRole建立RAM角色並授權。