使用企业A的阿里云主账号创建RAM角色,对角色进行授权,并将角色分配给企业B,以使用企业B的主账号或其RAM用户访问企业A的ACM资源。
跨账户授权流程
步骤 1:企业 A 创建角色
1、使用企业A的云账号登录RAM控制台,在左侧导航栏选择RAM角色管理。
2、在RAM角色管理页面点击创建RAM角色。
3、在“创建 RAM 角色”对话框中执行以下操作,然后单击“确定”。
4、在选择类型区域,选择阿里云账号,点击下一步。
5、在输入角色名文本框中输入要授权的云账号。
在本例中,输入 acm-admin。
6、选择另一个云账号,输入要授权的云账号,点击完成。
第二步:企业A授权角色
新创建的角色没有任何权限,因此企业A必须对该角色进行授权。本例中,企业A需要为该角色分配授权策略AliyunACMFullAccess,以便该角色可以访问ACM资源。
1、登录RAM控制台,在左侧导航栏选择RAM角色管理。
2、在RAM角色管理页面,单击目标角色操作栏中的添加权限。
3、在添加权限对话框左侧的系统权限策略中找到AliyunACMFullAccess策略,点击该策略,然后点击确定。
注意如果同时使用ACM的加解密配置功能,则需要为用户添加AliyunKMSCryptoAccess授权策略。
请注意,此步骤将授予对 ACM 的完全访问权限。如果您想向单个命名空间授予特定权限,请参阅访问控制。
第三步:企业B创建RAM用户
1、登录 RAM 控制台并在左侧导航窗格中选择人员 > 用户。
2、在“用户”页面单击“创建用户”,在“用户帐户信息”区域输入用户的登录名和显示名。
请注意,登录名在云帐户中必须是唯一的。
3、要创建多个用户,请单击添加用户并输入登录名和显示名。
4、在Access Mode区域,选择Console Password Login,然后根据需要设置console密码、要求重置密码、多重认证,点击OK。
完成以上步骤后,即可成功创建一个可以登录控制台的RAM用户。
第四步:企业B授权RAM用户
1、登录 RAM 控制台并在左侧导航窗格中选择人员 > 用户。
2、在“用户”页面,单击目标用户的“操作”列中的“添加授权”。
3、在添加权限对话框左侧的系统策略中找到AliyunSTSAssumeRoleAccess策略,点击该策略,然后点击确定。
第五步:使用企业B的RAM用户跨账号访问资源
1、使用云账号登录RAM控制台,在左侧导航栏中选择Overview。
2、在账户管理区点击用户登录地址链接。
3、在阿里云-RAM用户登录页面,根据提示输入登录用户名,点击下一步,然后输入密码,点击登录。
4、在子用户用户中心页面,点击Internet中间件类别下的应用配置管理,进入ACM控制台。
5、登录成功后,将鼠标指针移动到右上角的头像上,点击在浮层切换身份。
6、在阿里云-角色切换页面,输入企业A的企业别名Company-a(或默认域名)和角色名acm-admin,然后点击切换。
7、对企业 A 的 ACM 资源执行操作。