将产品添加到产品组合后,管理员可以设置启动约束,控制终端用户在启动产品时使用统一权限,以此避免为每个账号分别授予多个产品实例的管理权限,从而简化授权操作。

前提条件

  • 请确保您已经为管理员授予服务目录管理员侧的权限。具体操作,请参见为管理员授权
  • 请确保管理员已经创建产品组合,并添加产品。具体操作,请参见为产品组合添加产品

背景信息

约束创建成功后,将作用于产品的所有产品版本,终端用户启动产品时可以按需选择不同的产品版本。

由于约束与产品组合中的特定产品关联,如果需要启动产品组合中的所有产品,则需要在产品组合中分别为每个产品创建约束。

步骤一:管理员创建启动角色并授权

创建约束前,管理员需要创建启动角色,用于启动产品。启动角色需要具备以下权限:

  • 资源编排ROS管理权限(AliyunROSFullAccess)。
  • Terraform模板相关资源的管理权限。

本文以创建ECS实例的模板create_ecs为例进行介绍。由于模板中包含ECS资源和VPC资源,因此需要授予RAM角色ECS管理权限(AliyunECSFullAccess)和VPC管理权限(AliyunVPCFullAccess)。

  1. 管理员登录RAM控制台
  2. 创建可信实体为服务目录的RAM角色(例如:TerraformExecutionRole)。
  3. 为RAM角色授予以下系统权限策略。
    权限策略名称说明
    AliyunROSFullAccess管理ROS,用于在启动产品时创建ROS资源栈。
    AliyunECSFullAccess管理ECS,用于在启动产品时创建ECS资源。
    AliyunVPCFullAccess管理VPC,用于在启动产品时创建VPC资源。
    具体操作,请参见为RAM角色授权

步骤二:管理员创建启动约束

  1. 管理员登录服务目录控制台
  2. 在左侧导航栏,选择管理员 > 产品组合管理
  3. 产品组合管理页面,单击目标产品组合名称。
  4. 单击约束页签,然后单击创建约束
  5. 创建约束页面,设置约束参数。
    1. 产品下拉列表中,选择已创建的产品名称。
    2. 约束描述区域,输入约束的详细描述。
    3. 约束类型区域,选中启动约束
    4. 启动使用的RAM角色下拉列表中,选择步骤一:管理员创建启动角色并授权创建的RAM角色。
  6. 单击确定