使用企业A的阿里云主账号创建RAM角色、为该角色授权,并将该角色赋予企业B,即可实现使用企业B的主账号或其RAM用户访问企业A的ACM资源的目的。

迁移到MSE Nacos

ACM进入下线状态,所有配置管理相关的需求由MSE中的Nacos承接(ACM独享版,更好的安全和稳定性)。您需要在ACM控制台导出配置,然后在MSE控制台导入之前导出的配置即可完成迁移。具体操作,请参见将应用配置从ACM迁移到MSE Nacos

跨账号授权流程

假设企业A(账号ID为11223344,企业别名为Company-a)需要将ACM操作权限授予企业B(账号ID为12345678,企业别名为Company-b)的员工C,则授权流程为:

  1. 步骤一:企业A创建角色
  2. 步骤二:企业A为该角色授权
  3. 步骤三:企业B创建RAM用户
  4. 步骤四:企业B为RAM用户授权
说明 关于企业别名的详细信息,请参见创建并验证域别名

步骤一:企业A创建角色

  1. 使用企业A的云账户登录RAM控制台,在左侧导航栏中选择RAM角色管理
  2. RAM角色管理页面上单击创建RAM角色
  3. 创建RAM角色对话框中执行以下操作并单击确定
    1. 选择类型区域选择阿里云账号,单击下一步
    2. 输入角色名称文本框内输入需授权的云帐户。

      在本示例中,输入acm-admin

    3. 选择其他云账号,并输入需授权的云帐户,单击完成

      在本示例中,输入企业B的账号ID 12345678

步骤二:企业A为该角色授权

新创建的角色没有任何权限,因此企业A必须为该角色授权。在本示例中,企业A要将授权策略AliyunACMFullAccess分配给该角色,从而使该角色能够访问ACM资源。

  1. 登录RAM控制台,在左侧导航栏中选择RAM角色管理
  2. RAM角色管理页面上单击目标角色操作列中的添加权限
  3. 添加权限对话框左侧的系统权限策略中找到AliyunACMFullAccess策略,并单击该策略,然后单击确定
    RAM添加权限对话框
    说明 如果还使用到ACM的加解密配置功能,则还需要为用户添加AliyunKMSCryptoAccess授权策略。
注意 此步骤将授予ACM的全部访问权限。如果希望授予单个命名空间的特定权限,请参见访问权限控制

步骤三:企业B创建RAM用户

  1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户
  2. 用户页面上单击创建用户,在用户账号信息区域输入用户的登录名称显示名称
    注意 登录名称必须在云账户内保持唯一。

    如需创建多个用户,则单击添加用户,并输入登录名称显示名称

    图 1. 新建用户页面
    RAM新建用户页面
  3. 访问方式区域选择控制台密码登录,然后按需设置控制台密码要求重置密码多因素认证,并单击确定

完成以上步骤后,一个可以登录控制台的RAM用户就创建成功了。

步骤四:企业B为RAM用户授权

  1. 登录RAM控制台,在左侧导航栏中选择人员管理 > 用户
  2. 用户页面上单击目标用户操作列中的添加授权
  3. 添加权限对话框左侧的系统策略中找到AliyunSTSAssumeRoleAccess策略,并单击该策略,然后单击确定

步骤五:使用企业B的RAM用户跨账号访问资源

  1. 使用云账户登录RAM控制台,在左侧导航栏中选择概览
  2. 账号管理区域单击用户登录地址链接。
    RAM账号管理信息区域
  3. 阿里云-RAM用户登录页面上按照提示输入登录用户名称,单击下一步,然后输入密码并单击登录
    RAM子用户登录对话框
  4. 子用户用户中心页面上,单击互联网中间件类目下的应用配置管理进入ACM控制台。
  5. 登录成功后,将鼠标指针移到右上角头像,并在浮层中单击切换身份
  6. 阿里云-角色切换页面,输入企业A的企业别名Company-a(或默认域名) 和角色名acm-admin,然后单击切换
  7. 对企业A的ACM资源执行操作。