Resource Orchestration Service：使用資源棧角色

應用情境

資源棧角色是一種可信實體為Resource Orchestration Service服務的RAM角色。如果您不希望Resource Orchestration Service服務以目前使用者身份部署資源，而希望以具有特定許可權的某個身份部署資源時，可以在操作資源棧時指定資源棧角色，從而以該資源棧角色身份部署資源。

當某企業需要員工建立多個雲產品資源，但又不希望該員工擁有太大的許可權時，企業可以為員工提供具有建立對應資源許可權的資源棧角色，員工只需在建立資源棧時選擇資源棧角色，從而實現通過ROS建立多個資源。本文以阿里雲帳號（主帳號）建立資源棧角色，RAM使用者（子帳號）使用資源棧角色建立VPC資源為例，為您進行詳細介紹。

操作步驟

步驟一：建立資源棧角色

1. 使用阿里雲帳號登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 角色。

3. 在角色頁面，單擊建立角色。

4. 在建立角色頁面，選擇可信實體類型為阿里雲服務，然後單擊下一步。

6. 輸入角色名稱和備忘。

7. 選擇受信服務為Resource Orchestration Service服務，然後單擊完成。

步驟二：擷取模板所需的權限原則

1. 定義建立VPC資源的模板。

   建立資源模板的更多資訊，請參見查看資源類型。

   ROSTemplateFormatVersion: '2015-09-01'
   Resources:
     Vpc:
       Type: ALIYUN::ECS::VPC
       Properties:
         CidrBlock: 192.168.0.0/24
         VpcName: TestVpc

2. 擷取權限原則。

   1. 在OpenAPI門戶，訪問GenerateTemplatePolicy介面。

   2. 在TemplateBody參數中輸入VPC樣本模板。

   3. 單擊調用，擷取建立VPC資源的權限原則。

      {
        "Policy": {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "quotas:ListProductQuotas"
              ],
              "Resource": "*",
              "Effect": "Allow"
            },
            {
              "Action": [
                "vpc:AssociateVpcCidrBlock",
                "vpc:CreateVpc",
                "vpc:DeleteVpc",
                "vpc:DescribeVpcs",
                "vpc:ModifyVpcAttribute",
                "vpc:TagResources",
                "vpc:UnTagResources"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        },
        "RequestId": "607A8E4E-4423-5D2D-8392-E74C5DC42EC5"
      }

步驟三：建立自訂權限原則

1. 使用阿里雲帳號登入RAM控制台。

2. 在左側導覽列，選擇許可權管理 > 權限原則。

3. 在權限原則頁面，單擊建立權限原則。

4. 在建立權限原則頁面，單擊指令碼編輯頁簽。

5. 輸入權限原則內容，然後單擊繼續編輯基本資料。

   策略內容替換為步驟二：擷取模板所需的權限原則擷取的權限原則中的Policy部分代碼。

6. 輸入權限原則名稱和備忘。

7. 單擊確定。

步驟四： 為資源棧角色授權

1. 在左側導覽列，選擇身份管理 > 角色。

2. 在角色頁面，單擊步驟一中建立的RAM角色操作列的精準授權。

   精準授權預設的授權範圍為當前阿里雲帳號。

3. 在添加許可權面板，選擇權限原則類型為自訂策略，然後輸入步驟三：建立自訂權限原則中建立的權限原則名稱。

   關於如何查看權限原則名稱，請參見查看權限原則基本資料。

4. 單擊確定。

步驟五：使用資源棧角色建立資源棧

前提條件

使用阿里雲帳號（主帳號）建立一個RAM使用者（子帳號），並為RAM使用者授予ROS的系統管理權限（AliyunROSFullAccess）。具體操作，請參見建立RAM使用者和為RAM使用者授權。

操作步驟

1. 使用RAM使用者登入Resource Orchestration Service控制台。

2. 在左側導覽列，單擊資源棧。

3. 在頂部功能表列的地區下拉式清單，選擇資源棧的所在地區。

4. 在資源棧列表頁面，單擊建立資源棧，然後在下拉式清單中選擇使用ROS。

5. 在選擇模板頁面，根據需要指定模板，然後單擊下一步。

   您可以輸入建立VPC資源的模板。關於指定模板的更多資訊，請參見設定模板。

6. 在配置參數頁面，配置資源棧名稱和模板參數。

   說明

   根據模板的不同，您需要配置的模板參數將有所差異，請根據控制台提示輸入參數資訊。

7. 在配置資源棧區塊，輸入RAM角色為步驟一：建立資源棧角色中建立的角色名稱。

   關於其他參數的配置，請參見建立資源棧。

8. 在合規預檢頁面，完成合規檢測，然後單擊下一步。

   說明

   目前合規預檢功能僅支援為部分資源提供合規預檢功能。更多資訊，請參見Resource Orchestration Service支援合規預檢。

   1. 在檢測規則地區，添加檢測規則。

      您可以根據ROS模板中的雲資源選擇需要檢測的規則。

   2. 單擊開始檢測。

      您可以根據不合規或不適用資源的修正方案修改模板內容，從而保證資源的合規性。

9. 在檢查並確認頁面，單擊建立。

   資源棧建立成功後，狀態列顯示建立成功。