本文為您介紹如何建立資源棧角色並使用資源棧角色建立相關資源。
應用情境
資源棧角色是一種可信實體為Resource Orchestration Service服務的RAM角色。如果您不希望Resource Orchestration Service服務以目前使用者身份部署資源,而希望以具有特定許可權的某個身份部署資源時,可以在操作資源棧時指定資源棧角色,從而以該資源棧角色身份部署資源。
當某企業需要員工建立多個雲產品資源,但又不希望該員工擁有太大的許可權時,企業可以為員工提供具有建立對應資源許可權的資源棧角色,員工只需在建立資源棧時選擇資源棧角色,從而實現通過ROS建立多個資源。本文以阿里雲帳號(主帳號)建立資源棧角色,RAM使用者(子帳號)使用資源棧角色建立VPC資源為例,為您進行詳細介紹。
操作步驟
步驟一:建立資源棧角色
使用阿里雲帳號登入RAM控制台。
在左側導覽列,選擇
。在角色頁面,單擊建立角色。
在建立角色頁面,選擇可信實體類型為阿里雲服務,然後單擊下一步。
選擇角色類型為普通服務角色。輸入角色名稱和備忘。
選擇受信服務為Resource Orchestration Service服務,然後單擊完成。
步驟二:擷取模板所需的權限原則
定義建立VPC資源的模板。
建立資源模板的更多資訊,請參見查看資源類型。
ROSTemplateFormatVersion: '2015-09-01' Resources: Vpc: Type: ALIYUN::ECS::VPC Properties: CidrBlock: 192.168.0.0/24 VpcName: TestVpc
擷取權限原則。
在OpenAPI門戶,訪問GenerateTemplatePolicy介面。
在TemplateBody參數中輸入VPC樣本模板。
單擊調用,擷取建立VPC資源的權限原則。
{ "Policy": { "Version": "1", "Statement": [ { "Action": [ "quotas:ListProductQuotas" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:AssociateVpcCidrBlock", "vpc:CreateVpc", "vpc:DeleteVpc", "vpc:DescribeVpcs", "vpc:ModifyVpcAttribute", "vpc:TagResources", "vpc:UnTagResources" ], "Resource": "*", "Effect": "Allow" } ] }, "RequestId": "607A8E4E-4423-5D2D-8392-E74C5DC42EC5" }
步驟三:建立自訂權限原則
使用阿里雲帳號登入RAM控制台。
在左側導覽列,選擇
。在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
輸入權限原則內容,然後單擊確認。
策略內容替換為步驟二:擷取模板所需的權限原則擷取的權限原則中的Policy部分代碼。
輸入權限原則名稱和備忘。
單擊確定。
步驟四: 為資源棧角色授權
在左側導覽列,選擇
。在角色頁面,單擊步驟一中建立的RAM角色操作列的精準授權。
精準授權預設的授權範圍為當前阿里雲帳號。
在添加許可權面板,選擇權限原則類型為自訂策略,然後輸入步驟三:建立自訂權限原則中建立的權限原則名稱。
關於如何查看權限原則名稱,請參見查看權限原則基本資料。
單擊確定。
步驟五:使用資源棧角色建立資源棧
前提條件
使用阿里雲帳號(主帳號)建立一個RAM使用者(子帳號),並為RAM使用者授予ROS的系統管理權限(AliyunROSFullAccess)。具體操作,請參見建立RAM使用者和為RAM使用者授權。
操作步驟
使用RAM使用者登入Resource Orchestration Service控制台。
在左側導覽列,單擊資源棧。
在頂部功能表列的地區下拉式清單,選擇資源棧的所在地區。
在資源棧列表頁面,單擊建立資源棧,然後在下拉式清單中選擇使用ROS。
在選擇模板頁面,根據需要指定模板,然後單擊下一步。
您可以輸入建立VPC資源的模板。關於指定模板的更多資訊,請參見設定模板。
在配置參數頁面,配置資源棧名稱和模板參數。
說明根據模板的不同,您需要配置的模板參數將有所差異,請根據控制台提示輸入參數資訊。
在配置資源棧區塊,輸入RAM角色為步驟一:建立資源棧角色中建立的角色名稱。
關於其他參數的配置,請參見建立資源棧。
在合規預檢頁面,完成合規檢測,然後單擊下一步。
說明目前合規預檢功能僅支援為部分資源提供合規預檢功能。更多資訊,請參見合規預檢。
在檢測規則地區,添加檢測規則。
您可以根據ROS模板中的雲資源選擇需要檢測的規則。
單擊開始檢測。
如果資源檢驗出不合規可單擊查看修正方案,根據修正方案修改雲資源的配置或者ROS模板內容,從而保證資源的合規性。
在檢查並確認頁面,單擊建立。
資源棧建立成功後,狀態列顯示建立成功。