资源编排服务通过RAM角色扮演对资源栈组中的资源栈实例所对应的资源栈进行部署。使用资源栈组前,您需要创建RAM角色并为其授权。

背景信息

您需要为下表所示的两个阿里云账号分别创建RAM角色并授权:

阿里云账号 RAM角色 权限策略
管理员账号(账号A) AliyunROSStackGroupAdministrationRole 自定义策略AssumeRole-AliyunROSStackGroupExecutionRole
目标账号(账号B) AliyunROSStackGroupExecutionRole 系统策略AdministratorAccess

授权成功后,当您使用管理员账号(账号A)登录资源编排控制台创建资源栈组后,即可在该资源栈组中为目标账号(账号B)创建资源栈。

通过资源编排控制台设置权限

  1. 设置目标账号(账号B)的权限。
    1. 使用目标账号(账号B)登录RAM控制台
    2. 为目标账号(账号B)创建可信实体为管理员账号(账号A)的RAM角色AliyunROSStackGroupExecutionRole
      1. 在左侧导航栏,单击RAM角色管理
      2. 单击创建RAM角色
      3. 选择可信实体类型为阿里云账号,单击下一步
      4. 输入角色名称AliyunROSStackGroupExecutionRole,选择其他云账号,输入管理员账号(账号A)的ID。
      5. 单击完成
    3. 为RAM角色AliyunROSStackGroupExecutionRole授予AdministratorAccess权限。
      1. 在左侧导航栏,单击RAM角色管理
      2. RAM角色名称列表下,单击角色名称AliyunROSStackGroupExecutionRole
      3. 在角色AliyunROSStackGroupExecutionRole基本信息页面,单击添加权限
      4. 添加权限页面,选择被授权主体AliyunROSStackGroupExecutionRole,选择系统策略AdministratorAccess
      5. 单击确定
      6. 单击完成
  2. 设置管理员账号(账号A)的权限。
    1. 使用管理员账号(账号A)登录RAM控制台
    2. 为管理员账号(账号A)创建可信实体为资源编排服务的RAM角色AliyunROSStackGroupAdministrationRole
      1. 在左侧导航栏,单击RAM角色管理
      2. 单击创建RAM角色
      3. 选择可信实体类型为阿里云服务,单击下一步
      4. 选择角色类型普通服务角色
      5. 输入角色名称AliyunROSStackGroupAdministrationRole,选择受信服务资源编排服务
      6. 单击完成
    3. 创建自定义权限策略AssumeRole-AliyunROSStackGroupExecutionRole
      1. 在左侧导航栏,选择权限管理 > 权限策略管理
      2. 单击创建权限策略
      3. 输入策略名称AssumeRole-AliyunROSStackGroupExecutionRole配置模式选择脚本配置
        策略内容中输入如下策略,该策略的意思为允许RAM角色 AliyunROSStackGroupAdministrationRole扮演角色身份 AliyunROSStackGroupExecutionRole
        {
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "sts:AssumeRole",
              "Resource": "acs:ram::*:role/AliyunROSStackGroupExecutionRole"
            }
          ],
          "Version": "1"
        }
      4. 单击确定
    4. 为RAM角色AliyunROSStackGroupAdministrationRole授予AssumeRole-AliyunROSStackGroupExecutionRole权限。
      1. 在左侧导航栏,单击RAM角色管理
      2. RAM角色名称列表下,单击角色名称AliyunROSStackGroupAdministrationRole
      3. 在RAM角色AliyunROSStackGroupAdministrationRole基本信息页面,单击添加权限
      4. 添加权限页面,选择被授权主体AliyunROSStackGroupAdministrationRole,选择自定义策略AssumeRole-AliyunROSStackGroupExecutionRole
      5. 单击确定
      6. 单击完成

通过资源编排模板设置权限

通过资源编排模板为管理员账号(账号A)和目标账号(账号B)创建RAM角色,并赋予资源栈组和资源栈的操作权限。

  1. 使用管理员账号(账号A)登录资源编排控制台
  2. 使用模板AliyunROSStackGroupAdministrationRole为管理员账号(账号A)创建RAM角色及授权。
  3. 使用模板AliyunROSStackGroupExecutionRole为目标账号(账号B)创建RAM角色及授权。