將產品添加到產品組合後,管理員可以設定啟動約束,控制終端使用者在啟動產品時使用統一許可權,以此避免為每個帳號分別授予多個產品執行個體的系統管理權限,從而簡化授權操作。
前提條件
背景資訊
約束建立成功後,將作用於產品的所有產品版本,終端使用者啟動產品時可以按需選擇不同的產品版本。
由於約束與產品組合中的特定產品關聯,如果需要啟動產品組合中的所有產品,則需要在產品組合中分別為每個產品建立約束。
步驟一:管理員建立啟動角色並授權
建立約束前,管理員需要建立啟動角色,用於啟動產品。啟動角色需要具備以下許可權:
- Resource Orchestration Service系統管理權限(AliyunROSFullAccess)。
- Terraform模板相關資源的系統管理權限。
本文以建立ECS執行個體的模板create_ecs為例進行介紹。由於模板中包含ECS資源和VPC資源,因此需要授予RAM角色ECS系統管理權限(AliyunECSFullAccess)和VPC系統管理權限(AliyunVPCFullAccess)。
- 管理員登入RAM控制台。
- 建立可信實體為服務類別目錄的RAM角色(例如:TerraformExecutionRole)。具體操作,請參見建立可信實體為阿里雲服務的RAM角色。
- 為RAM角色授予以下系統權限原則。
具體操作,請參見為RAM角色授權。權限原則名稱 說明 AliyunROSFullAccess 管理ROS,用於在啟動產品時建立ROS資源棧。 AliyunECSFullAccess 管理ECS,用於在啟動產品時建立ECS資源。 AliyunVPCFullAccess 管理VPC,用於在啟動產品時建立VPC資源。
步驟二:管理員建立啟動約束
- 管理員登入服務類別目錄控制台。
- 在左側導覽列,選擇。
- 在產品組合管理頁面,單擊目標產品組合名稱。
- 單擊約束頁簽,然後單擊建立約束。
- 在建立約束頁面,設定約束參數。
- 從產品下拉式清單中,選擇已建立的產品名稱。
- 在約束描述地區,輸入約束的詳細描述。
- 在約束類型地區,選中啟動約束。
- 從啟動使用的RAM角色下拉式清單中,選擇步驟一:管理員建立啟動角色並授權建立的RAM角色。
- 單擊確定。