资源编排服务通过RAM角色扮演对资源栈组中的资源栈实例所对应的资源栈进行部署。使用资源栈组前,您需要创建RAM角色并为其授权。
背景信息
您需要为下表所示的两个阿里云账号分别创建RAM角色并授权:
| 阿里云账号 |
RAM角色 |
权限策略 |
| 管理员账号(账号A) |
AliyunROSStackGroupAdministrationRole |
自定义策略AssumeRole-AliyunROSStackGroupExecutionRole |
| 目标账号(账号B) |
AliyunROSStackGroupExecutionRole |
系统策略AdministratorAccess |
授权成功后,当您使用管理员账号(账号A)登录资源编排控制台创建资源栈组后,即可在该资源栈组中为目标账号(账号B)创建资源栈。
通过资源编排控制台设置权限
- 设置目标账号(账号B)的权限。
- 使用目标账号(账号B)登录RAM控制台。
- 为目标账号(账号B)创建可信实体为管理员账号(账号A)的RAM角色AliyunROSStackGroupExecutionRole。
- 在左侧导航栏,单击RAM角色管理。
- 单击创建RAM角色。
- 选择可信实体类型为阿里云账号,单击下一步。
- 输入角色名称为AliyunROSStackGroupExecutionRole,选择其他云账号,输入管理员账号(账号A)的ID。
- 单击完成。
- 为RAM角色AliyunROSStackGroupExecutionRole授予AdministratorAccess权限。
- 在左侧导航栏,单击RAM角色管理。
- 在RAM角色名称列表下,单击角色名称AliyunROSStackGroupExecutionRole。
- 在角色AliyunROSStackGroupExecutionRole基本信息页面,单击添加权限。
- 在添加权限页面,选择被授权主体为AliyunROSStackGroupExecutionRole,选择系统策略为AdministratorAccess。
- 单击确定。
- 单击完成。
- 设置管理员账号(账号A)的权限。
- 使用管理员账号(账号A)登录RAM控制台。
- 为管理员账号(账号A)创建可信实体为资源编排服务的RAM角色AliyunROSStackGroupAdministrationRole。
- 在左侧导航栏,单击RAM角色管理。
- 单击创建RAM角色。
- 选择可信实体类型为阿里云服务,单击下一步。
- 选择角色类型为普通服务角色。
- 输入角色名称为AliyunROSStackGroupAdministrationRole,选择受信服务为资源编排服务。
- 单击完成。
- 创建自定义权限策略AssumeRole-AliyunROSStackGroupExecutionRole。
- 在左侧导航栏,选择。
- 单击创建权限策略。
- 输入策略名称为AssumeRole-AliyunROSStackGroupExecutionRole,配置模式选择脚本配置。
在
策略内容中输入如下策略,该策略的意思为允许RAM角色
AliyunROSStackGroupAdministrationRole扮演角色身份
AliyunROSStackGroupExecutionRole。
{
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "acs:ram::*:role/AliyunROSStackGroupExecutionRole"
}
],
"Version": "1"
}
- 单击确定。
- 为RAM角色AliyunROSStackGroupAdministrationRole授予AssumeRole-AliyunROSStackGroupExecutionRole权限。
- 在左侧导航栏,单击RAM角色管理。
- 在RAM角色名称列表下,单击角色名称AliyunROSStackGroupAdministrationRole。
- 在RAM角色AliyunROSStackGroupAdministrationRole基本信息页面,单击添加权限。
- 在添加权限页面,选择被授权主体为AliyunROSStackGroupAdministrationRole,选择自定义策略为AssumeRole-AliyunROSStackGroupExecutionRole。
- 单击确定。
- 单击完成。
