全部產品
Search
文件中心

Resource Orchestration Service: 使用資源棧角色

更新時間:Dec 19, 2024

本文為您介紹如何建立資源棧角色並使用資源棧角色建立相關資源。

應用情境

資源棧角色是一種可信實體為Resource Orchestration Service服務的RAM角色。如果您不希望Resource Orchestration Service服務以目前使用者身份部署資源,而希望以具有特定許可權的某個身份部署資源時,可以在操作資源棧時指定資源棧角色,從而以該資源棧角色身份部署資源。

當某企業需要員工建立多個雲產品資源,但又不希望該員工擁有太大的許可權時,企業可以為員工提供具有建立對應資源許可權的資源棧角色,員工只需在建立資源棧時選擇資源棧角色,從而實現通過ROS建立多個資源。本文以阿里雲帳號(主帳號)建立資源棧角色,RAM使用者(子帳號)使用資源棧角色建立VPC資源為例,為您進行詳細介紹。

操作步驟

步驟一:建立資源棧角色

  1. 使用阿里雲帳號登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,單擊建立角色

  4. 建立角色頁面,選擇可信實體類型為阿里雲服務,然後單擊下一步

  5. 選擇角色類型普通服務角色。輸入角色名稱備忘

  6. 選擇受信服務為Resource Orchestration Service服務,然後單擊完成

步驟二:擷取模板所需的權限原則

  1. 定義建立VPC資源的模板。

    建立資源模板的更多資訊,請參見查看資源類型

    ROSTemplateFormatVersion: '2015-09-01'
    Resources:
      Vpc:
        Type: ALIYUN::ECS::VPC
        Properties:
          CidrBlock: 192.168.0.0/24
          VpcName: TestVpc
  2. 擷取權限原則。

    1. 在OpenAPI門戶,訪問GenerateTemplatePolicy介面。

    2. TemplateBody參數中輸入VPC樣本模板。

    3. 單擊調用,擷取建立VPC資源的權限原則。

      {
        "Policy": {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "quotas:ListProductQuotas"
              ],
              "Resource": "*",
              "Effect": "Allow"
            },
            {
              "Action": [
                "vpc:AssociateVpcCidrBlock",
                "vpc:CreateVpc",
                "vpc:DeleteVpc",
                "vpc:DescribeVpcs",
                "vpc:ModifyVpcAttribute",
                "vpc:TagResources",
                "vpc:UnTagResources"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        },
        "RequestId": "607A8E4E-4423-5D2D-8392-E74C5DC42EC5"
      }

步驟三:建立自訂權限原則

  1. 使用阿里雲帳號登入RAM控制台

  2. 在左側導覽列,選擇許可權管理 > 權限原則

  3. 權限原則頁面,單擊建立權限原則

  4. 建立權限原則頁面,單擊指令碼編輯頁簽。

  5. 輸入權限原則內容,然後單擊確認

    策略內容替換為步驟二:擷取模板所需的權限原則擷取的權限原則中的Policy部分代碼。

  6. 輸入權限原則名稱備忘

  7. 單擊確定

步驟四: 為資源棧角色授權

  1. 在左側導覽列,選擇身份管理 > 角色

  2. 角色頁面,單擊步驟一中建立的RAM角色操作列的精準授權

    精準授權預設的授權範圍為當前阿里雲帳號。

  3. 添加許可權面板,選擇權限原則類型為自訂策略,然後輸入步驟三:建立自訂權限原則中建立的權限原則名稱

    關於如何查看權限原則名稱,請參見查看權限原則基本資料

  4. 單擊確定

步驟五:使用資源棧角色建立資源棧

前提條件

使用阿里雲帳號(主帳號)建立一個RAM使用者(子帳號),並為RAM使用者授予ROS的系統管理權限(AliyunROSFullAccess)。具體操作,請參見建立RAM使用者為RAM使用者授權

操作步驟

  1. 使用RAM使用者登入Resource Orchestration Service控制台

  2. 在左側導覽列,單擊資源棧

  3. 在頂部功能表列的地區下拉式清單,選擇資源棧的所在地區。

  4. 資源棧列表頁面,單擊建立資源棧,然後在下拉式清單中選擇使用ROS

  5. 選擇模板頁面,根據需要指定模板,然後單擊下一步

    您可以輸入建立VPC資源的模板。關於指定模板的更多資訊,請參見設定模板

  6. 配置參數頁面,配置資源棧名稱模板參數

    說明

    根據模板的不同,您需要配置的模板參數將有所差異,請根據控制台提示輸入參數資訊。

  7. 配置資源棧區塊,輸入RAM角色步驟一:建立資源棧角色中建立的角色名稱。

    關於其他參數的配置,請參見建立資源棧

  8. 合規預檢頁面,完成合規檢測,然後單擊下一步

    說明

    目前合規預檢功能僅支援為部分資源提供合規預檢功能。更多資訊,請參見合規預檢

    1. 檢測規則地區,添加檢測規則。

      您可以根據ROS模板中的雲資源選擇需要檢測的規則。

    2. 單擊開始檢測

      如果資源檢驗出不合規可單擊查看修正方案,根據修正方案修改雲資源的配置或者ROS模板內容,從而保證資源的合規性。

      image

  9. 檢查並確認頁面,單擊建立

    資源棧建立成功後,狀態列顯示建立成功