共享镜像可用于同地域跨账号部署ECS实例。当您需要共享加密自定义镜像时,需先创建对应角色并授予指定的权限与策略,然后才可以将加密自定义镜像共享给其他阿里云账号或者基于资源目录在企业组织内共享使用。本文介绍共享加密自定义镜像的注意事项及操作流程。
操作场景
共享加密自定义镜像的功能目前支持华北2(北京)、华东2(上海)、中国(香港)、新加坡地域。
场景一:您希望将一个阿里云账号下的镜像资源,直接共享给另外一个或多个阿里云账号使用。
场景二:您在使用阿里云服务过程中,已通过资源目录将企业的多账号有序组织和集中管理起来,并希望将资源目录中某成员的镜像资源共享给整个资源目录(或者资源夹),此时可以通过资源目录实现资源共享。
如果您将镜像共享给整个资源目录(或者资源夹),则资源目录(或者资源夹)下所有账号都可以访问共享镜像。且当资源目录(或者资源夹)内有新账号加入时,系统将自动触发新账号的镜像共享。当账号从资源目录(或者资源夹)内移出时,系统将自动取消该账号的镜像共享。更多信息,请参见资源共享概述。
说明资源目录RD(Resource Directory)是阿里云面向企业用户提供的一套多级账号和资源关系管理服务。资源目录支持您快速建立一套符合企业业务关系的目录结构,并将企业多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。更多信息,请参见资源目录概述。
如果您已通过资源目录操作镜像资源共享,建议您不要再使用场景一中的方式操作相同的镜像资源,避免造成资源目录中镜像共享数据不一致的问题。
准备工作
注意事项
共享镜像前,请仔细阅读以下注意事项:
共享者
注意项 | 说明 |
共享费用 | 不收取共享费用。 |
账号权限 |
|
地域限制 | 仅支持同地域跨账号共享,不支持跨地域共享镜像。 |
共享对象
注意项 | 说明 |
共享费用 |
镜像计费的更多信息,请参见镜像计费。 |
使用限制 |
步骤一:创建角色并授权
当您需要共享加密自定义镜像时,需要先通过阿里云的访问控制创建名为AliyunECSShareEncryptImageDefaultRole
的角色并授予指定的权限与策略,然后才可以将加密自定义镜像共享给其他阿里云账号基于资源目录在企业组织内共享使用。
使用共享者的阿里云账号登录RAM控制台。
在左侧导航栏,选择 。
单击创建角色,然后在创建角色面板中完成以下配置。
在选择类型页面,选择阿里云账号,然后单击下一步。
在配置角色页面,角色名称下的文本框中输入
AliyunECSShareEncryptImageDefaultRole
,并在选择信任的云账号区域单击当前云账号,然后单击完成。在创建完成页面,单击为角色授权。
在添加权限面板的选择权限区域,单击系统策略,然后在搜索框中输入
AliyunKMSFullAccess
进行搜索。其他未说明的配置项保持默认配置即可。
添加
AliyunKMSFullAccess
权限,单击确定,然后单击完成。
返回角色页面,通过创建角色后的搜索框,搜索
AliyunECSShareEncryptImageDefaultRole
角色,然后单击角色名进入角色详情页。在角色详情页修改信任策略。
单击信任策略管理。
单击修改信任策略,然后将默认的信任策略进行替换。
如果您的自定义镜像需要共享给单个阿里云账号,请使用如下信任策略进行替换。其中,
<UID>
为变量,您需要修改为共享对象的阿里云账号ID。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<UID>@ecs.aliyuncs.com" ] } } ], "Version": "1" }
如果您的自定义镜像需要共享给多个阿里云账号,请使用如下信任策略进行替换。其中,
<UID>
为变量,您需要分别修改为共享的阿里云账号ID。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<UID-1>@ecs.aliyuncs.com", "<UID-2>@ecs.aliyuncs.com", "<UID-3>@ecs.aliyuncs.com" ] } } ], "Version": "1" }
如果您是将镜像基于资源目录在企业组织内共享使用,请根据实际场景使用如下信任策略进行替换。
场景一:共享给整个资源目录,需指定资源目录ID
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "*@ecs.aliyuncs.com" }, "Condition": { "StringEquals": { "sts:ServiceOwnerRDId": "<资源目录ID>" } } } ], "Version": "1" }
其中,资源目录ID为变量,您需要修改为共享对象的资源目录ID。关于如何查看资源目录ID的具体操作,请参见查看资源目录基本信息。
场景二:共享给具体的资源夹,需指定资源夹RDPath,格式为
<资源目录ID>/<Root资源夹ID>/……/<当前资源夹ID*>
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "*@ecs.aliyuncs.com" }, "Condition": { "StringLike": { "sts:ServiceOwnerRDPath": "<资源目录ID>/<Root资源夹ID>/……/<当前资源夹ID*>" } } } ], "Version": "1" }
其中,资源夹RDPath为变量,您需要修改为共享对象的资源夹RDPath。关于如何查看资源夹RDPath的具体操作,请参见查看资源夹基本信息。
单击确定。
步骤二:共享加密自定义镜像
登录ECS管理控制台。
在左侧导航栏,选择 。
在页面左侧顶部,选择目标资源所在的资源组和地域。
在自定义镜像页签,找到待共享的自定义镜像,在操作列单击共享镜像。
在共享镜像对话框中,根据实际的共享镜像场景完成操作。
将镜像共享给其他阿里云账号使用
在对端待共享账号ID处输入共享对象的阿里云账号ID。
选中共享镜像后对方可获得该镜像中保存的数据,为防止数据泄露,请您再次确认是否将镜像共享给该UID。
单击确定。
基于资源目录在企业组织内共享使用
镜像共享成功后,将鼠标悬浮至共享镜像的图标处,可以查看共享对象的阿里云账号ID。
- 本页导读 (1)