阿里雲的訪問控制ram產品可以實現資源的分配和授權,在乙個特殊的業務背景下,資源也可以實現跨賬號的授權使用.
1.a公司,作為甲方party a,出資購買雲資源,對雲資源具有所有權,但不實際管理,需要乙方配合.
2.b公司,作為乙方party b,要管理a公司的雲資源,需要a公司授權雲資源的使用,對雲資源具有使用權
3.b公司的員工,作為實際操作人員,需要對具體例項進行管理.
以上這種情況,通過ram是否可以實現呢?
答案是:yes
1.使用ram角色做跨賬號授權
2.使用子賬號資源授權
1.準備兩個測試主賬號
partya賬號:cloudtec*@aliyun.com uid:444
partyb賬號:middlegr@aliyun-test.com uid:10713766795707
2.在ram控制台建立角色
3.選擇其他雲賬號授信
4.成功建立角色
生成臨時授權sts策略,用於扮演該角色.授權角色資訊為:
}
],"version": "1"
}
5.建立了扮演角色,再在party b賬號中建立子賬號buser(記得開啟控制台登入)
6.授權buser子賬號aliyunstsassumeroleaccess許可權
7.buser子賬號登入,選擇切換身份
輸入對應的a賬戶資訊
看到查詢結果
這樣,buser賬號就具有了管理a賬號例項的能力,
當buser員工離職,b賬號只需要關閉buser賬號即可.
當a公司需要更換b公司或對b公司的授權範圍發生變更,只需要更新授權策略即可.
ram角色(ram-role)
ram角色是一種虛擬使用者(或影子賬號),它是ram使用者型別的一種。這種虛擬使用者有確定的身份,也可以被賦予一組許可權(policy),但它沒有確定的身份認證金鑰(登入密碼或accesskey)。與普通ram使用者的差別主要在使用方法上,ram角色需要被乙個授信的實體使用者扮演,扮演成功後實體使用者將獲得ram角色的臨時安全令牌,使用這個臨時安全令牌就能以角色身份訪問被授權的資源。
不同專案配置不同的 Git 賬號
遇到 在一台電腦裡,通常會遇到這種情況。有公司的 git 賬號提交公司的 gitlab,有自己的 github 賬號提交 github 倉庫。比如像我的公司 git 賬號為 xiaojia,但我的 github 賬號為 linda0821,並且郵件也不一樣。當我設定 git 全域性 name 和 e...
為不同專案設定不同的git賬號
安裝git的時候,按照網上的教程安裝完成後,就設定了全域性的git使用者,就是說所有的git專案都會使用這個使用者名稱和郵箱,如下設定的 git config global user.name username git config global user.email useremail 可以使用g...
阿里雲不同賬號之間相同地域的VPC網路互訪
今天實際操作了一下,在這篇隨筆中記錄一下以備忘,主要參考阿里雲幫助文件 不同賬號下專有網路內網互通。實現場景 賬號a的vpc網路中的ecs訪問賬號b的vpc網路中的ecs與rds 地域都在華東1 賬號a的vpc網段是192.168.0.0 16,賬號b的vpc網段是10.0.0.0 8 2個賬號需要...