角色管理

最近更新时间:2019-12-01 20:43:13

角色管理:

新建角色:

通过IAM控制台来创建角色的基本步骤如下:

•设置授权实体类型

•设置角色信息

•设置载体信息

操作步骤:登录控制台,选择访问控制>角色管理>新建角色,然后按步骤执行。 设置“载体信息”时,如果您创建的角色是给您自己名下的子用户使用,那么你可以选择当前云账号作为载体,无需再填入账号ID;如果您创建的角色是给其它云账号名下的子用户使用,那么您需要选择其他云账号作为载体,并填写其他云账号的ID。如下图所示

50.png

查看角色

能够查看当前主账户下角色的详细信息,操作如下: 使用主账户或者已授权的子用户身份登录控制台(新版); 选择“访问控制”一级菜单->选择“角色管理”二级菜单 在“角色管理”列表页面,选择某个角色,点击“详情”,进入“角色详情”页面,如下图:

51.png

角色详情页由基本信息和分段式选项卡三块组成。 分段式选项卡由【角色载体】、【关联策略】组成,点击可切换。

查看被授信角色

能够查看当前主账户下被授信角色的详细信息,操作如下: 使用主账户或者已授权的子用户身份登录控制台(新版); 选择“访问控制”一级菜单->选择“角色管理”二级菜单 在“角色管理”列表页面,点击“被授信角色”tab页,进入“被授信角色”列表页面,如下图

52.png

添加授信ID和给角色关联策略 主账户或者已授权的子用户可以给角色附加策略和添加授信ID,操作如下:

使用主账户或者已授权的子用户身份登录控制台(新版);

选择“访问控制”一级菜单->选择“角色管理”二级菜单;

在“角色管理”列表页面,点击角色名称,进入“角色详情”页面,在页面下部,点击分段式选项卡“角色载体”tab页面,页面展示当前角色已被授信的云账户列表,可以进行“添加授信ID”“删除”的操作;

53.png

在“角色管理”列表页面,点击角色名称,进入“角色详情”页面,在页面下部,点击分段式选项卡“关联策略”tab页面,页面展示当前角色关联的策略,可以进行“添加授权”和“解除”的操作

54.png

使用角色

必须使用子用户身份扮演角色(AssumeRole)。为了遵循建议安全实践,系统不允许受信云账号以自己身份扮演角色

因此,受信云账号必须通过创建一个子用户,并授予该子用户的AssumeRole权限,然后以子用户身份去扮演角色。

操作步骤:

•创建一个子用户,为该用户创建AccessKey或设置登录密码

•给该子用户授权,授权时可以选择STSAssumeRoleAccess系统授权策略

(1) 子用户使用角色身份访问云服务API

当子用户被授予AssumeRole权限之后,他就可以使用自己的AccessKey调用安全令牌服务(STS)的AssumeRole接口来获取某个角色的临时安全令牌。关于AssumeRole API的调用方法,请参考STS API文档。

(2) 子用户使用角色身份操作控制台

具体步骤如下:

1、企业A新建角色a,将角色a授信给企业B。

1)点击“授信用户” image.png

2)添加“授信ID”

image.png

2、企业B新建子用户b,并将【策略管理】中的策略STSAssumeRoleAccess授权给子用户b。

image.png

3、企业B的子用户b在控制台界面右上角点击“切换”,即可以选择切换至角色a,扮演角色a访问企业A的控制台。

说明:角色登录仅支持子用户身份登录,主账号暂不支持角色登录。

image.png

金山云,开启您的云计算之旅

注册有礼