您可以配置RAM用户同步,在目标RD账号中同步创建一个与云SSO用户同名的RAM用户,然后通过该RAM用户访问该RD账号中的资源。
背景信息
本文将提供一个示例,通过配置RAM用户同步,在RD成员(Sandbox_Account)中创建一个与云SSO用户(user1)同名的RAM用户(user1@xxx.onaliyun.com),然后为RAM用户(user1@xxx.onaliyun.com)授予云原生大数据计算服务MaxCompute的管理权限(AliyunMaxComputeFullAccess),实现通过RAM用户(user1@xxx.onaliyun.com)身份访问RD成员(Sandbox_Account)中的云原生大数据计算服务MaxCompute。
步骤一:配置RAM用户同步
使用RD管理账号在云SSO中配置RAM用户同步。
登录云SSO控制台。
在左侧导航栏,单击多账号权限管理。
在多账号权限管理页面,选择目标RD账号,然后单击配置RAM用户同步。
本示例中,选择RD成员(Sandbox_Account)。
在配置RAM用户同步面板,选择目标云SSO用户或云SSO用户组,然后单击下一步。
本示例中,选择云SSO用户(user1)。如果选择云SSO用户组,则会同步该云SSO用户组中的所有云SSO用户。
设置以下基本信息,然后单击下一步。
输入RAM用户同步的描述。
在处理模式区域,选择逐条处理或批量处理。
逐条处理:为多个RD账号逐条配置冲突策略和删除策略。
批量处理:为多个RD账号统一配置冲突策略和删除。
配置冲突策略和删除策略。
冲突策略:当目标RD账号内存在同名RAM用户时的处理策略。
替换:新创建的RAM用户会覆盖已存在的RAM用户。覆盖旧的RAM用户,不会改变RAM用户的权限、基础信息、ID等,只会影响它的登录方式(同步的RAM用户只能通过云SSO的访问方式登录,不支持RAM用户名密码登录。)
两者都保留:新创建的RAM用户会被系统重命名,新旧两个RAM用户会同时保留。
删除策略:删除RAM用户同步时,对已同步的RAM用户的处理策略。
保留:删除RAM用户同步时,会保留已同步的RAM用户。
删除:删除RAM用户同步时,会删除已同步的RAM用户。
单击提交。
单击完成。
配置成功后,会在目标RD账号内创建一个同名的RAM用户。本示例中,将会在RD成员(Sandbox_Account)中同步创建一个与云SSO用户(user1)同名的RAM用户(user1@xxx.onaliyun.com)。
步骤二:为RAM用户授权
访问RD成员(Sandbox_Account),为RAM用户(user1@xxx.onaliyun.com)授予云原生大数据计算服务MaxCompute的管理权限(AliyunMaxComputeFullAccess)。
访问RD成员(Sandbox_Account)。
具体操作,请参见成员登录阿里云控制台。
为RAM用户(user1@xxx.onaliyun.com)授权。
本示例中,将授予RAM用户(user1@xxx.onaliyun.com)云原生大数据计算服务MaxCompute的管理权限(AliyunMaxComputeFullAccess)。具体操作,请参见为RAM用户授权。
步骤三:云SSO用户访问阿里云
云SSO用户(user1)通过RAM用户(user1@xxx.onaliyun.com)身份访问RD成员(Sandbox_Account)中的云原生大数据计算服务MaxCompute。
云SSO用户(user1)登录云SSO用户门户。
具体操作,请参见步骤一:获取用户门户访问地址和步骤二:登录云SSO用户门户。
以RAM用户身份访问RD成员(Sandbox_Account)中的云原生大数据计算服务MaxCompute。
具体操作,请参见步骤三:访问RD账号资源中的以RAM用户登录章节。