阿里云负载均衡借助RAM角色实现跨云账号访问负载均衡资源-云淘科技

背景信息

假设企业A购买了多种云资源来开展业务，并需要授权企业B代为开展部分业务，则可以利用RAM角色来实现此目的。RAM角色是一种虚拟用户，没有确定的身份认证密钥，需要被一个受信的实体用户扮演才能正常使用。为了满足企业A的需求，可以按照以下流程操作：

1. 企业A创建RAM角色。

2. 企业A为该RAM角色添加权限。

3. 企业B创建RAM用户。

4. 企业B为RAM用户添加AliyunSTSAssumeRoleAccess权限。

5. 企业B的RAM用户通过控制台或API访问企业A的资源。

步骤一：企业A创建RAM角色

首先需要使用企业A的阿里云账号登录RAM控制台并创建RAM角色。

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，选择身份管理 > 角色。
3. 在角色页面，单击创建角色。
4. 在创建角色面板，选择可信实体类型为阿里云账号，然后单击下一步。

5. 设置角色信息。

   1. 输入角色名称。
   2. 可选：输入备注。

   3. 选择云账号。本文选择其他云账号，并输入企业B的阿里云账号ID。

      • 当前云账号：当您允许当前阿里云账号下的RAM用户扮演该RAM角色时，您可以选择当前云账号。
      • 其他云账号：当您允许其他阿里云账号下的RAM用户扮演该RAM角色时，您可以选择其他云账号，然后输入其他阿里云账号ID。该项主要针对跨阿里云账号的资源授权访问场景。说明 您可以访问安全设置页面查看阿里云账号ID。

6. 单击完成，然后单击关闭。

步骤二：企业A为该RAM角色添加权限

新创建的角色没有任何权限，因此企业A必须为该角色添加权限。

1. 使用阿里云账号登录RAM控制台。
2. 在左侧导航栏，选择身份管理 > 角色。

3. 在角色页面，找到步骤一创建的RAM角色，在操作列单击添加权限。

4. 在添加权限面板，为步骤一创建的RAM角色添加权限。

   1. 选择授权应用范围。本文选择整个云账号。

      • 整个云账号：权限在当前阿里云账号内生效。
      • 指定资源组：权限在指定的资源组内生效。说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息，请参见支持资源组的云服务。
   2. 输入授权主体。授权主体即需要授权的RAM角色，系统会自动填入当前的RAM角色，您也可以添加其他RAM角色。

   3. 选择权限策略。

      权限策略包括系统策略和自定义策略两种，您可以根据需要选择对应的权限策略。

      说明

      每次最多绑定5条策略，如需绑定更多策略，请分多次操作。

5. 单击确定，然后单击完成。

步骤三：企业B创建RAM用户

接下来要使用企业B的阿里云账号登录RAM控制台并创建RAM用户。

1. 使用阿里云账号登录RAM控制台。

2. 在左侧导航栏，选择身份管理 > 用户。

3. 在用户页面，单击创建用户。

4. 在创建用户页面的用户账号信息区域，设置用户基本信息。

   • 登录名称：可包含英文字母、数字、半角句号（.）、短划线（-）和下划线（_），最多64个字符。

   • 显示名称：最多包含128个字符或汉字。

   • 可选：标签：您可以单击，然后输入标签键和标签值。为RAM用户绑定标签，便于后续基于标签的用户管理。

   说明

   单击添加用户，可以批量创建多个RAM用户。

5. 在访问方式区域，选择访问方式，然后设置对应参数。

   为了账号安全，建议您只选择以下访问方式中的一种，将人员用户和应用程序用户分离，避免混用。

   • 控制台访问

     如果RAM用户代表人员，建议启用控制台访问，使用用户名和密码访问阿里云。启用后，您需要设置以下参数：

     • 控制台密码：选择自动生成密码或者自定义密码。自定义登录密码时，密码必须满足密码复杂度规则。更多信息，请参见设置RAM用户密码强度。

     • 密码重置策略：选择在下次登录时是否需要重置密码。

     • 多因素认证（MFA）策略：选择是否为当前RAM用户启用MFA。选择启用MFA后，RAM用户登录控制台时，需要绑定MFA设备。更多信息，请参见为RAM用户绑定多因素认证设备。

   • OpenAPI调用访问

     如果RAM用户代表应用程序，建议启用OpenAPI调用访问，使用访问密钥（AccessKey）访问阿里云。启用后，系统会自动为RAM用户生成一个AccessKey ID和AccessKey Secret。更多信息，请参见创建AccessKey。

6. 单击确定。

步骤四：企业B为RAM用户添加权限

企业B必须为其阿里云账号下的RAM用户添加AliyunSTSAssumeRoleAccess权限，RAM用户才能扮演企业A创建的RAM角色。

1. 使用阿里云账号登录RAM控制台。

2. 在左侧导航栏，选择身份管理 > 用户。

3. 在用户页面，找到步骤三创建的RAM用户，在操作列单击添加权限。

4. 在添加权限面板，为RAM用户添加权限。

   1. 选择授权应用范围。本文选择整个云账号。

      • 整个云账号：权限在当前阿里云账号内生效。
      • 指定资源组：权限在指定的资源组内生效。说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息，请参见支持资源组的云服务。

   2. 输入授权主体。选择步骤三创建的RAM用户。

   3. 选择权限策略。本文选择AliyunSTSAssumeRoleAccess。

5. 单击确定，然后单击完成。

后续步骤

完成上述操作后，企业B的RAM用户即可按照以下步骤登录控制台或调用API访问企业A的云资源。

登录控制台访问企业A的云资源

1. 使用企业B的RAM用户登录阿里云控制台。

   具体操作，请参见RAM用户登录阿里云控制台。

2. RAM用户登录成功后，将鼠标悬停在右上角头像的位置，单击切换身份。

   说明

   切换角色时需要输入企业A的阿里云账号别名和步骤一创建的RAM角色名称。

   具体操作，请参见使用RAM角色。

3. 登录负载均衡控制台即可访问企业A的云资源。

使用企业B的RAM用户通过API访问企业A的云资源

要使用企业B的RAM用户通过API访问企业A的云资源，必须在代码中提供RAM用户的AccessKeyId、AccessKeySecret和SecurityToken（临时安全令牌）。使用STS获取临时安全令牌的方法，请参见AssumeRole。

相关文档

• 访问控制RAM介绍

• 什么是访问控制

• 为RAM角色授权

• 为RAM用户授权

• 为RAM角色移除权限