不同账号间的云资源授权方法
阿里云的访问控制RAM产品可以实现资源的分配和授权,在一个特殊的业务背景下,资源也可以实现跨账号的授权使用.
背景:
1.A公司,作为甲方Party A,出资购买云资源,对云资源具有所有权,但不实际管理,需要乙方配合.
2.B公司,作为乙方Party B,要管理A公司的云资源,需要A公司授权云资源的使用,对云资源具有使用权
3.B公司的员工,作为实际操作人员,需要对具体实例进行管理.
以上这种情况,通过RAM是否可以实现呢?
答案是:yes
方法是:
1.使用RAM角色做跨账号授权
2.使用子账号资源授权
过程
1.准备两个测试主账号
PartyA账号:cloudtec*@aliyun.com UID:444
PartyB账号:middlegr@aliyun-test.com UID:10713766795707
2.在RAM控制台创建角色
3.选择其他云账号授信
4.成功创建角色
生成临时授权STS策略,用于扮演该角色.授权角色信息为:
{"Statement": [{"Action": "sts:AssumeRole","Effect": "Allow","Principal": {"RAM": ["acs:ram::1071376679570***:root"]}}],"Version": "1"
}授权ECS管理权限
5.创建了扮演角色,再在Party B账号中创建子账号Buser(记得开启控制台登录)
6.授权Buser子账号AliyunSTSAssumeRoleAccess权限
7.Buser子账号登录,选择切换身份
输入对应的A账户信息
企业别名:就是A账号的账户ID
角色名:就是 A账号建立的RAM角色名
看到查询结果
结论
这样,Buser账号就具有了管理A账号实例的能力,
当Buser员工离职,B账号只需要关闭Buser账号即可.
当A公司需要更换B公司或对B公司的授权范围发生变更,只需要更新授权策略即可.
更详细的授权策略功能可见
https://help.aliyun.com/document_detail/28652.html
名词解释:
RAM角色(RAM-Role)
RAM角色是一种虚拟用户(或影子账号),它是RAM用户类型的一种。这种虚拟用户有确定的身份,也可以被赋予一组权限(Policy),但它没有确定的身份认证密钥(登录密码或AccessKey)。与普通RAM用户的差别主要在使用方法上,RAM角色需要被一个授信的实体用户扮演,扮演成功后实体用户将获得RAM角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。
不同账号间的云资源授权方法相关推荐
- 2023阿里云账号注册流程(多种注册方法随便选)
阿里云账号怎么注册?阿里云账号支持手机号注册.阿里云APP注册.支付宝和钉钉多种注册方式,账号注册后需要通过实名认证才可以购买或使用云产品,阿里云百科来详细说下不同途径注册阿里云账号图文流程: 目录 ...
- 使用vpc解决华为云同一区域不同账号间服务器的互通
前提条件 保证两个账号购买的资源都属于统一区域,比如都在 华南-广州 账号A: 账号B: 目的: 实现两个账号间的资源可以通过内网访问 1. 第一步:在账号B下建立对等连接. 路径:控制台→虚拟私有云 ...
- 腾讯云备案授权码常见问题及解决方法
在腾讯云备案需要备案授权码,备案君分享腾讯云备案授权码常见问题及解决方法: 什么是备案授权码? 腾讯云的备案授权码类似于阿里云的备案服务号,备案授权码是由服务器生成的用于备案的授权凭证,实际指向该服务 ...
- oss子账号_阿里云使用RAM子账号授权管理oss对象存储
不要给主账号创建AK密钥 主账号具有该账户下所有云资源的完全操作权限,一旦泄露AK,将会导致您账户资产的极大风险.强烈建议您创建并使用RAM子用户来进行日常工作,遵循最小授权原则,使用RAM子用户Ac ...
- sso登录统一账号体系和集中认证授权,实现用户快速访问应用-哇谷云
sso登录统一账号体系和集中认证授权,实现用户快速访问应用-哇谷云 主流应用接入 通过哇谷云的多因素身份验证,在原本静态账号口令的基础上增加一层动态口令,或借助"扫一扫".生物识别 ...
- 腾讯云备案授权码生成及常见问题解答
腾讯云备案授权码是一种备案凭证,使用备案授权码可以在腾讯云进行网站备案,备案授权码不能购买只能生成,只有腾讯云企业用户才可以生成备案授权码.腾讯云百科来详细说下什么是备案授权码.备案授权码生成方法.授 ...
- 腾讯云备案授权码生成、使用及限制常见问题解答FAQ
腾讯云备案授权码是由云服务器生成的用于备案的授权凭证,个人账号无法生成备案授权码,腾讯云百科来详细说下备案授权码生成.授权码使用及限制等问题解答,包括无法生成授权码原因.备案授权码无效及备案授权码备案 ...
- srs10流程图_高效的SRS资源指示方法与流程
公开的主题一般涉及电信,更特别地涉及下一代移动无线通信系统中的srs资源的高效指示. 背景技术: 下一代移动无线通信系统(5g或nr)将支持各种用例集合和各种部署场景集合.后者包括在低频(数百mhz) ...
- 基于APMSSGA-LSTM的容器云资源预测
基于APMSSGA-LSTM的容器云资源预测 谢晓兰1,2, 张征征1, 郑强清1, 陈超泉1 1 桂林理工大学信息科学与工程学院,广西 桂林 541004 2 广西嵌入式技术与智能系统重点实验室,广 ...
最新文章
- img引Linux的绝对路径,什么是绝对路径和相对路径
- js 字符和html和数值拼接,js中substring和substr的用法(获取字符串为整个html页面中的某个数值)...
- linux iptables 如何设置允许几个 ip访问,Linux防火墙iptables限制几个特定ip才能访问服务器。...
- Delphi读取文本内容
- django model filter 条件过滤,及多表连接查询、反向查询,某字段的distinct
- ConcurrentLinkedQueue常用方法
- mybatis 带分号批量sql_请查收,32 道 MyBatis 的高频面试题已答完
- 中国联通联合中国电信在福建开通首个共享5G基站
- Python自动控制鼠标中键滚动并截屏保存图像
- Linux基础 权限与用户管理命令
- http服务器使用libevent实现get和post请求实例
- 三十分钟理解博弈论“纳什均衡” -- Nash Equilibrium
- 概念二 python3 中子类继承父类
- 个人小项目原型图设计(主页)
- 网页压缩--gzip和deflate的区别
- 【微信小程序】表单校验
- 星际文件系统(InterPlanetary File System,缩写IPFS)
- 根治偏头痛及各种头痛病症
- 全屏的微粒子3D动画特效
- Linux驱动01 - Timer