412      阿裏雲

不同企業之間的資源操作與授權管理__使用場景_用戶指南_訪問控製-阿裏雲

場景描述

賬號A和賬號B分別代表不同的企業。A購買了多種雲資源（如ECS實例/RDS實例/SLB實例/OSS存儲桶/...）來開展業務。A希望能專注於業務係統，而將雲資源運維監控管理等任務委托（或授權）給企業B。此外，B還可以進一步將A的資源訪問權限分配給B的某一個或多個員工。B可以精細控製其員工對A所控製的資源的操作權限。如果A和B的這種代運維合同終止，A隨時可以撤銷對B的授權。

需求說明

• 涉及A和B兩個雲賬號之間的授權
• 賬戶A是資源Owner，希望授權賬號B來操作
• 賬戶B需要進一步給其子用戶（代表員工或應用）授權
• 當B的員工加入或離職時，A無需做任何權限變更
• 如果雙方業務終止，A隨時可以撤銷對B的授權

解決方法：使用RAM角色做跨賬號授權

1. 跨賬號授權操作步驟

假設租戶A（AccountID=11223344，別名company-a）需要授權租戶B（AccountID=12345678，別名company-b）的員工對其ECS進行操作，操作步驟如下：

步驟1：A創建角色

(1) 進入RAM控製台 -> 角色管理 -> 創建角色。

(2) 在創建角色彈窗中：選擇“用戶角色” -> 選擇“其他雲賬號”並填寫受信雲賬號ID（比如12345678） -> 填寫角色名稱(假設為ecs-admin)和備注 -> 確定創建角色。

創建角色成功後，可以在角色詳情中查看到該角色的基本信息，比如角色的全局名稱Arn如下：

acs:ram::11223344:role/ecs-admin

角色的信任策略（隻允許租戶B來扮演角色）如下：

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::12345678:root"
        ]
      }
    }
  ],
  "Version": "1"
}

步驟2：A給角色授權

(1) 在上一步的創建角色完成時，可以直接按照引導進入授權操作界麵；也可以選擇進入角色詳情頁麵，進入“編輯授權策略”進入授權操作界麵。

(2) 在授權操作界麵上，可以選擇係統授權策略，如AliyunECSFullAccess，然後點擊確定。

步驟3：B創建子用戶並授權扮演角色

(1) B登錄RAM控製台 -> 用戶管理 -> 創建用戶，輸入用戶名，比如zhangsan，為該用戶設置登錄密碼；

(2) 創建用戶後，進入用戶詳情頁 -> 用戶授權策略。在編輯授權策略窗口中，選擇係統授權策略，如AliyunSTSAssumeRoleAccess，然後點擊確定。

2. 跨賬號資源訪問

通過控製台訪問

步驟1：B的子用戶zhangsan登錄，子用戶登錄時需正確輸入企業別名、子用戶名稱和子用戶密碼。

步驟2：zhangsan登錄控製台後，右上角會顯示用戶登錄信息。點擊選擇“切換身份”，進入身份切換頁麵，輸入正確的“企業別名”（company-a）和“角色名”（ecs-admin）。

步驟3：zhangsan操作租戶A下的ecs資源。

最後更新：2016-11-23 16:04:01

  上一篇： 針對移動App的臨時授權管理__使用場景_用戶指南_訪問控製-阿裏雲

  下一篇： 使用ActionTrail記錄RAM操作__RAM操作記錄_用戶指南_訪問控製-阿裏雲