不同账号间的云资源授权方法

简介: 阿里云的访问控制RAM产品可以实现资源的分配和授权,在一个特殊的业务背景下,资源也可以实现跨账号的授权使用. 背景: 1.A公司,作为甲方Party A,出资购买云资源,对云资源具有所有权,但不实际管理,需要乙方配合.

阿里云的访问控制RAM产品可以实现资源的分配和授权,在一个特殊的业务背景下,资源也可以实现跨账号的授权使用.

背景:

1.A公司,作为甲方Party A,出资购买云资源,对云资源具有所有权,但不实际管理,需要乙方配合.
2.B公司,作为乙方Party B,要管理A公司的云资源,需要A公司授权云资源的使用,对云资源具有使用权
3.B公司的员工,作为实际操作人员,需要对具体实例进行管理.
以上这种情况,通过RAM是否可以实现呢?
答案是:yes

方法是:

1.使用RAM角色做跨账号授权
2.使用子账号资源授权

过程

1.准备两个测试主账号
PartyA账号:cloudtec*@aliyun.com UID:444
PartyB账号:middlegr@aliyun-test.com UID:10713766795707
2.在RAM控制台创建角色
image.png
3.选择其他云账号授信
1
4.成功创建角色
image.png
生成临时授权STS策略,用于扮演该角色.授权角色信息为:

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::1071376679570***:root"
        ]
      }
    }
  ],
  "Version": "1"
}

授权ECS管理权限
image.png
5.创建了扮演角色,再在Party B账号中创建子账号Buser(记得开启控制台登录)
image.png
6.授权Buser子账号AliyunSTSAssumeRoleAccess权限
image.png
7.Buser子账号登录,选择切换身份
image.png
输入对应的A账户信息
image.png
看到查询结果
image.png

结论

这样,Buser账号就具有了管理A账号实例的能力,
当Buser员工离职,B账号只需要关闭Buser账号即可.
当A公司需要更换B公司或对B公司的授权范围发生变更,只需要更新授权策略即可.

名词解释:

RAM角色(RAM-Role)
RAM角色是一种虚拟用户(或影子账号),它是RAM用户类型的一种。这种虚拟用户有确定的身份,也可以被赋予一组权限(Policy),但它没有确定的身份认证密钥(登录密码或AccessKey)。与普通RAM用户的差别主要在使用方法上,RAM角色需要被一个授信的实体用户扮演,扮演成功后实体用户将获得RAM角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。

目录
相关文章
|
7月前
|
敏捷开发 测试技术 持续交付
云效产品使用常见问题之账号授权就能对当前主账号下所有 OSS 进行读写权限如何解决
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
5月前
|
缓存 分布式计算 DataWorks
DataWorks产品使用合集之在标准模式下,如何通过权限申请界面来申请相应的表权限
DataWorks作为一站式的数据开发与治理平台,提供了从数据采集、清洗、开发、调度、服务化、质量监控到安全管理的全套解决方案,帮助企业构建高效、规范、安全的大数据处理体系。以下是对DataWorks产品使用合集的概述,涵盖数据处理的各个环节。
|
7月前
|
弹性计算 运维 安全
访问控制(RAM)|云上程序使用临时凭证的最佳实践
STS临时访问凭证是阿里云提供的一种临时访问权限管理服务,通过STS获取可以自定义时效和访问权限的临时身份凭证,减少长期访问密钥(AccessKey)泄露的风险。本文将为您介绍产品原理,以及具体的使用步骤。
151389 5
|
7月前
|
域名解析 网络协议 数据安全/隐私保护
DNS解析问题之授权RAM子账号管理指定域名如何解决
DNS解析是指将人类可读的域名转换成机器可读的IP地址的过程,它是互联网访问中不可或缺的一环;本合集将介绍DNS解析的机制、类型和相关问题的解决策略,以确保域名解析的准确性和高效性。
448 1
|
运维 安全 网络安全
特权账号管理之授权管理
对于银行、医疗、金融、政府、电力等行业,普遍存在大量的外包人员,这些外包人员手中往往都掌握有部分资产的账号密码,并且掌握的还都是高权限账号,而外包人员用这些钥匙做什么,往往处于监管之外,也不可控。通俗来讲相当于保险箱的钥匙交给了外人使用,如果这些人因一念之差或者手工操作失误,带来的后果企业可能难以承受。 近年来国家相关部门陆陆续续发布了关于外包风险的管理通知,去年8月国家卫生健康委、国家中医药局、国家疾控局联合发布的《医疗卫生机构网络安全管理办法》中也提到了加外包开发的安全管理。 面向事业单位,医院等把网络运维工作全权交给专门的第三方运维公司,由于第三方运维公司的不确定性因素很多,第一大因素就
110 0
特权账号管理之授权管理
|
关系型数据库 MySQL API
如何为RAM子账号授予单一RDS实例的访问权限?
在阿里云中,如何为RAM子账号进行精准授权,授予单一RDS实例的访问权限?这篇文档帮到你
62328 0
|
API 数据安全/隐私保护
短信服务实现子账号只能调用授权过的接口
语音服务目前支持两种授权方式一种是系统权限,可以授权管理短信服务的权限,也可以授权只读短信服务的权限,第二种自定义策略,官方文档只是简单说明了可以通过IP白名单授权。通过测试,确认短信服务可以给子账号单独授权API接口,以下介绍下具体实现
566 0
短信服务实现子账号只能调用授权过的接口
|
数据安全/隐私保护
12-企业权限管理-资源权限
12-企业权限管理-资源权限
|
弹性计算 数据安全/隐私保护
ECS子账号或者角色基于标签权限管理方案
子账号或者相关角色,只能创建资源带有某种标签的资源,否则创建不成功。并且只能查看自己创建ECS实例。
1144 1
ECS子账号或者角色基于标签权限管理方案