资源编排服务ROS(Resource Orchestration Service)支持通过创建资源栈的方式快速创建RAM用户并为RAM用户授权。

背景信息

当您使用RAM控制台创建RAM用户,并为RAM用户授权时,需要多个操作步骤,而ROS可以帮助您快速完成此操作,提升效率。关于RAM用户的更多信息,请参见RAM用户概览

步骤一:编辑模板

通过以下模板创建RAM用户、创建自定义策略、创建访问密钥AK(AccessKey)及为RAM用户授权。

关于资源类型的更多信息,请参见资源类型索引

{
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "UserName": {
      "Type": "String",
      "Description": "自定义RAM用户名称",
      "Label": {
        "zh-cn": "RAM用户名称",
        "en": "RAM User Name"
      }
    },
    "PolicyName": {
      "Type": "String",
      "Description": "自定义策略名称",
      "Label": {
        "zh-cn": "RAM策略名称",
        "en": "RAM Policy Name"
      }
    },
    "Action": {
      "Default": [
        "vpc:*"
      ],
      "Type": "Json",
      "Description": {
        "zh-cn": "该策略定义的对产品服务的操作。更多信息,请参见<a href='https://help.aliyun.com/document_detail/93738.html'>权限策略基本元素</a>。",
        "en": "The operation of products and services defined by the strategy, Resources for operations, refer to <a href='https://www.alibabacloud.com/help/doc-detail/93738.htm'>Policy elements</a> for more info."
      },
      "Label": {
        "zh-cn": "策略自定义操作",
        "en": "PolicyAction"
      }
    },
    "Effect": {
      "Default": "Allow",
      "AllowedValues": [
        "Allow",
        "Deny"
      ],
      "Type": "String",
      "Description": {
        "zh-cn": "允许/拒绝对资源的操作",
        "en": "Allow/Deny Action for Resource"
      },
      "Label": {
        "zh-cn": "策略权限效力",
        "en": "Authority"
      }
    },
    "Resource": {
      "Default": [
        "*"
      ],
      "Type": "Json",
      "Description": {
        "zh-cn": "适用于操作的资源。更多信息,请参见<a href='https://help.aliyun.com/document_detail/93738.html'>权限策略基本元素</a>。",
        "en": "Resources for operations, refer to <a href='https://www.alibabacloud.com/help/doc-detail/93738.htm'>Policy elements</a> for more info."
      },
      "Label": {
        "zh-cn": "策略自定义资源",
        "en": "Resource"
      }
    }
  },
  "Resources": {
    "ManagedPolicy": {
      "Type": "ALIYUN::RAM::ManagedPolicy",
      "Properties": {
        "PolicyName": {
          "Ref": "PolicyName"
        },
        "PolicyDocument": {
          "Version": "1",
          "Statement": [
            {
              "Action": {
                "Ref": "Action"
              },
              "Resource": {
                "Ref": "Resource"
              },
              "Effect": {
                "Ref": "Effect"
              }
            }
          ]
        }
      }
    },
    "RamAK": {
      "Type": "ALIYUN::RAM::AccessKey",
      "Properties": {
        "UserName": {
          "Fn::GetAtt": [
            "RamUser",
            "UserName"
          ]
        }
      },
      "DependsOn": "RamUser"
    },
    "RamUser": {
      "Type": "ALIYUN::RAM::User",
      "Properties": {
        "UserName": {
          "Ref": "UserName"
        }
      }
    },
    "AttachPolicyToUser": {
      "DependsOn": [
        "ManagedPolicy",
        "RamUser"
      ],
      "Type": "ALIYUN::RAM::AttachPolicyToUser",
      "Properties": {
        "PolicyType": "Custom",
        "UserName": {
          "Fn::GetAtt": [
            "RamUser",
            "UserName"
          ]
        },
        "PolicyName": {
          "Fn::GetAtt": [
            "ManagedPolicy",
            "PolicyName"
          ]
        }
      }
    }
  },
  "Outputs": {
    "AKSecret": {
      "Value": {
        "Fn::GetAtt": [
          "RamAK",
          "AccessKeySecret"
        ]
      }
    },
    "AKId": {
      "Value": {
        "Fn::GetAtt": [
          "RamAK",
          "AccessKeyId"
        ]
      }
    },
    "UserId": {
      "Value": {
        "Fn::GetAtt": [
          "RamUser",
          "UserId"
        ]
      }
    }
  }
}            

步骤二:创建资源栈

  1. 登录资源编排控制台
  2. 在左侧导航栏,单击资源栈
  3. 在页面左上角的地域下拉列表,选择资源栈的所在地域。
  4. 资源栈列表页面,单击创建资源栈,然后在下拉列表中选择使用新资源(标准)
  5. 选择模板页面,选择已有模板,选择模板录入方式输入模板,输入步骤一中JSON格式的模板,然后单击下一步
  6. 配置模板参数页面,输入资源栈名称,并配置参数。

    如下将提供一个示例,创建一个名为vpc-dev的RAM用户,为其绑定自定义策略vpcDevPolicy,使其具备VPC的完全管理权限,同时系统自动生成一个访问密钥AK(AccessKey)。

    参数 说明 示例
    RAM用户名称 RAM用户的自定义名称。

    更多信息,请参见RAM用户概览

    vpc-dev
    RAM策略名称 权限策略名称。

    更多信息,请参见权限策略概览

    vpcDevPolicy
    策略自定义操作 权限策略对具体资源的操作。

    更多信息,请参见权限策略基本元素

    ["vpc:*"]
    说明 ["vpc:*"]代表VPC的完全管理权限。
    策略权限效力 权限策略授权效力。取值:
    • Allow:允许。
    • Deny:拒绝

    更多信息,请参见权限策略基本元素

    Allow
    策略自定义资源 权限策略被授权的具体对象。

    更多信息,请参见权限策略基本元素

    ["*"]
    说明 ["*"]代表所有资源。
  7. 单击创建
    资源栈创建成功后,您可以登录RAM控制台查看RAM用户基本信息、访问密钥AK(AccessKey)和权限策略。