当您使用凭据管家托管RAM凭据时,需要通过RAM服务角色为凭据管家授权,使凭据管家拥有管理RAM用户AccessKey的权限。本文为您介绍如何授予凭据管家管理RAM用户AccessKey的权限。

步骤一:创建自定义权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 选择脚本编辑并输入以下脚本。 
    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:ListAccessKeys",
                "ram:CreateAccessKey",
                "ram:DeleteAccessKey",
                "ram:UpdateAccessKey"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}
  5. 单击下一步:编辑基本信息,设置名称和备注。其中名称设置为AliyunKMSManagedRAMCrendentialsRolePolicy
  6. 检查并优化权限策略内容。
    • 基础权限策略优化

      系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

      • 删除不必要的条件。
      • 删除不必要的数组。
    • 可选:高级权限策略优化

      您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

      • 拆分不兼容操作的资源或条件。
      • 收缩资源到更小范围。
      • 去重或合并语句。
  7. 单击确定

步骤二:创建RAM角色并授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 角色页面,单击创建角色
  4. 创建角色面板,选择可信实体类型为阿里云服务,然后单击下一步
  5. 选择角色类型为普通服务角色
  6. 输入角色名称备注。其中角色名称AliyunKMSManagedRAMCrendentialsRole
  7. 选择受信服务为密钥管理服务
  8. 单击完成
  9. 单击关闭
  10. 为RAM角色授权。
    1. 单击为角色授权,被授权主体会自动填入。
    2. 添加权限面板,选择自定义策略,然后选中权限策略AliyunKMSManagedRAMCrendentialsRolePolicy
    3. 单击确定
    4. 单击完成