全部产品
Search
文档中心

云SSO:配置RAM用户同步

更新时间:Dec 20, 2024

您可以配置RAM用户同步,在目标RD账号中同步创建一个与云SSO用户同名的RAM用户,然后通过该RAM用户访问该RD账号中的资源。

背景信息

本文将提供一个示例,通过配置RAM用户同步,在RD成员(Sandbox_Account)中创建一个与云SSO用户(user1)同名的RAM用户(user1@xxx.onaliyun.com),然后为RAM用户(user1@xxx.onaliyun.com)授予云原生大数据计算服务MaxCompute的管理权限(AliyunMaxComputeFullAccess),实现通过RAM用户(user1@xxx.onaliyun.com)身份访问RD成员(Sandbox_Account)中的云原生大数据计算服务MaxCompute。

步骤一:配置RAM用户同步

使用RD管理账号在云SSO中配置RAM用户同步。

  1. 登录云SSO控制台

  2. 在左侧导航栏,单击多账号权限管理

  3. 多账号权限管理页面,选择目标RD账号,然后单击配置RAM用户同步

    本示例中,选择RD成员(Sandbox_Account)。

    image

  4. 配置RAM用户同步面板,选择目标云SSO用户或云SSO用户组,然后单击下一步

    本示例中,选择云SSO用户(user1)。如果选择云SSO用户组,则会同步该云SSO用户组中的所有云SSO用户。

    image

  5. 设置以下基本信息,然后单击下一步

    1. 输入RAM用户同步的描述。

    2. 处理模式区域,选择逐条处理批量处理

      • 逐条处理:为多个RD账号逐条配置冲突策略和删除策略。

      • 批量处理:为多个RD账号统一配置冲突策略和删除。

    3. 配置冲突策略删除策略

      • 冲突策略:当目标RD账号内存在同名RAM用户时的处理策略。

        • 替换:新创建的RAM用户会覆盖已存在的RAM用户。覆盖旧的RAM用户,不会改变RAM用户的权限、基础信息、ID等,只会影响它的登录方式(同步的RAM用户只能通过云SSO的访问方式登录,不支持RAM用户名密码登录。)

        • 两者都保留:新创建的RAM用户会被系统重命名,新旧两个RAM用户会同时保留。

      • 删除策略:删除RAM用户同步时,对已同步的RAM用户的处理策略。

        • 保留:删除RAM用户同步时,会保留已同步的RAM用户。

        • 删除:删除RAM用户同步时,会删除已同步的RAM用户。

  6. 单击提交

  7. 单击完成

配置成功后,会在目标RD账号内创建一个同名的RAM用户。本示例中,将会在RD成员(Sandbox_Account)中同步创建一个与云SSO用户(user1)同名的RAM用户(user1@xxx.onaliyun.com)。

image

步骤二:为RAM用户授权

访问RD成员(Sandbox_Account),为RAM用户(user1@xxx.onaliyun.com)授予云原生大数据计算服务MaxCompute的管理权限(AliyunMaxComputeFullAccess)。

  1. 访问RD成员(Sandbox_Account)。

    具体操作,请参见成员登录阿里云控制台

  2. 为RAM用户(user1@xxx.onaliyun.com)授权。

    本示例中,将授予RAM用户(user1@xxx.onaliyun.com)云原生大数据计算服务MaxCompute的管理权限(AliyunMaxComputeFullAccess)。具体操作,请参见为RAM用户授权

说明

除上述操作方法外,为了方便您的操作,推荐您将某个云SSO用户设置为权限管理员,专门用来为目标RD账号中同步的RAM用户添加权限。您可以在云SSO创建访问配置(包含AliyunRAMFullAccess权限),然后为权限管理员在多个目标RD成员账号上部署该访问配置,实现权限管理员可以为目标RD账号中的RAM用户授权。具体操作,请参见创建访问配置在RD账号上授权

步骤三:云SSO用户访问阿里云

云SSO用户(user1)通过RAM用户(user1@xxx.onaliyun.com)身份访问RD成员(Sandbox_Account)中的云原生大数据计算服务MaxCompute。

  1. 云SSO用户(user1)登录云SSO用户门户。

  2. 以RAM用户身份访问RD成员(Sandbox_Account)中的云原生大数据计算服务MaxCompute。

    具体操作,请参见步骤三:访问RD账号资源中的以RAM用户登录章节。

    image