412      汽车大全

不同企业之间的资源操作与授权管理__使用场景_用户指南_访问控制-阿里云

场景描述

账号A和账号B分别代表不同的企业。A购买了多种云资源（如ECS实例/RDS实例/SLB实例/OSS存储桶/...）来开展业务。A希望能专注于业务系统，而将云资源运维监控管理等任务委托（或授权）给企业B。此外，B还可以进一步将A的资源访问权限分配给B的某一个或多个员工。B可以精细控制其员工对A所控制的资源的操作权限。如果A和B的这种代运维合同终止，A随时可以撤销对B的授权。

需求说明

• 涉及A和B两个云账号之间的授权
• 账户A是资源Owner，希望授权账号B来操作
• 账户B需要进一步给其子用户（代表员工或应用）授权
• 当B的员工加入或离职时，A无需做任何权限变更
• 如果双方业务终止，A随时可以撤销对B的授权

解决方法：使用RAM角色做跨账号授权

1. 跨账号授权操作步骤

假设租户A（AccountID=11223344，别名company-a）需要授权租户B（AccountID=12345678，别名company-b）的员工对其ECS进行操作，操作步骤如下：

步骤1：A创建角色

(1) 进入RAM控制台 -> 角色管理 -> 创建角色。

(2) 在创建角色弹窗中：选择“用户角色” -> 选择“其他云账号”并填写受信云账号ID（比如12345678） -> 填写角色名称(假设为ecs-admin)和备注 -> 确定创建角色。

创建角色成功后，可以在角色详情中查看到该角色的基本信息，比如角色的全局名称Arn如下：

acs:ram::11223344:role/ecs-admin

角色的信任策略（只允许租户B来扮演角色）如下：

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::12345678:root"
        ]
      }
    }
  ],
  "Version": "1"
}

步骤2：A给角色授权

(1) 在上一步的创建角色完成时，可以直接按照引导进入授权操作界面；也可以选择进入角色详情页面，进入“编辑授权策略”进入授权操作界面。

(2) 在授权操作界面上，可以选择系统授权策略，如AliyunECSFullAccess，然后点击确定。

步骤3：B创建子用户并授权扮演角色

(1) B登录RAM控制台 -> 用户管理 -> 创建用户，输入用户名，比如zhangsan，为该用户设置登录密码；

(2) 创建用户后，进入用户详情页 -> 用户授权策略。在编辑授权策略窗口中，选择系统授权策略，如AliyunSTSAssumeRoleAccess，然后点击确定。

2. 跨账号资源访问

通过控制台访问

步骤1：B的子用户zhangsan登录，子用户登录时需正确输入企业别名、子用户名称和子用户密码。

步骤2：zhangsan登录控制台后，右上角会显示用户登录信息。点击选择“切换身份”，进入身份切换页面，输入正确的“企业别名”（company-a）和“角色名”（ecs-admin）。

步骤3：zhangsan操作租户A下的ecs资源。

最后更新：2016-11-23 16:04:01

  上一篇： 针对移动App的临时授权管理__使用场景_用户指南_访问控制-阿里云

  下一篇： 使用ActionTrail记录RAM操作__RAM操作记录_用户指南_访问控制-阿里云