RAM 서비스 활성화 후 API를 통해 인스턴스 RAM 역할을 사용하는 방법

이 글에서는 RAM 서비스 활성화 후 API를 통해 인스턴스 RAM 역할을 사용하는 방법을 소개하고, 작업 단계를 중점적으로 설명합니다.

API를 통해 인스턴스 RAM 역할 사용

사용 제한

인스턴스 RAM 역할 사용에는 다음과 같은 제한 사항이 있습니다.

사설 네트워크(VPC) 네트워크 유형의 ECS 인스턴스만 인스턴스 RAM 역할을 사용할 수 있습니다. .

ECS 인스턴스는 한 번에 하나의 인스턴스에만 RAM 역할을 부여할 수 있습니다.

ECS 인스턴스에 인스턴스 RAM 역할을 부여하고 ECS 인스턴스 내에 배포된 애플리케이션에서 클라우드 제품의 API에 액세스하려면 인스턴스 메타데이터를 통해 인스턴스 RAM 역할의 임시 인증 토큰을 얻어야 합니다. 5를 참조하세요. (선택 사항) 임시 인증 토큰을 얻습니다.

RAM 사용자 하위 계정을 사용하여 인스턴스 RAM 역할을 사용하는 경우 클라우드 계정을 통해 RAM 사용자에게 인스턴스 RAM 역할을 사용할 수 있는 권한을 부여해야 합니다. 6. (선택 사항).

사전 조건

RAM 서비스를 활성화하기 위한 활성화 방법은 RAM 문서를 참조하세요.

1. 인스턴스 RAM 역할을 생성합니다

CreateRole 인터페이스를 호출하여 인스턴스 RAM 역할을 생성합니다.

RoleName 매개변수를 설정합니다. 예를 들어 해당 값을 EcsRamRoleDocumentTesting으로 설정합니다.

다음 정책에 따라 AssumeRolePolicyDocument를 설정합니다.

{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}
],
"Version": "1"
}

2. 인스턴스 RAM 역할 승인

CreatePolicy 인터페이스를 호출하여 새 승인 정책을 생성합니다.

RoleName 매개변수를 설정합니다. 예를 들어 해당 값을 EcsRamRoleDocumentTestingPolicy로 설정합니다.

다음 정책에 따라 PolicyDocument를 설정합니다.

{
"Statement": [
{
"Action": [
"oss:Get*",
"oss:List*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "1"
}

인터페이스 AttachPolicyToRole 권한 부여 역할 정책을 호출합니다.

PolicyType 매개변수를 Custom으로 설정합니다.

EcsRamRoleDocumentTestingPolicy와 같은 PolicyName 매개변수를 설정합니다.

EcsRamRoleDocumentTesting과 같은 RoleName 매개변수를 설정합니다.

3. 인스턴스에 RAM 역할을 부여합니다.

인스턴스에 RAM 역할을 부여하려면 AttachInstanceRamRole 인터페이스를 호출합니다.

RegionId 및 InstanceIds 매개변수를 설정하여 ECS 인스턴스를 지정하세요.

EcsRamRoleDocumentTesting과 같은 RamRoleName 매개변수를 설정합니다.

4. (선택 사항) 인스턴스 RAM 역할을 회수합니다.

인스턴스 RAM 역할을 회수하려면 DetachInstanceRamRole 인터페이스를 호출합니다.

RegionId 및 InstanceIds 매개변수를 설정하여 ECS 인스턴스를 지정하세요.

EcsRamRoleDocumentTesting과 같은 RamRoleName 매개변수를 설정합니다.

5. (선택 사항) 임시 인증 토큰 받기

인스턴스 RAM 역할에 대한 임시 인증 토큰을 얻을 수 있습니다. 이 임시 인증 토큰은 인스턴스 RAM 역할의 권한과 리소스를 실행할 수 있습니다. 인증 토큰은 주기적으로 자동 업데이트됩니다. 예:

EcsRamRoleDocumentTesting이라는 인스턴스 RAM 역할에 대한 임시 인증 토큰을 검색합니다.

Linux 인스턴스: 컬 http://100.100.100.200/latest/meta-data/Ram/security-credentials/EcsRamRoleDocumentTesting 명령을 실행합니다.

Windows 인스턴스: 인스턴스 메타데이터에 대한 설명서를 참조하세요.

임시 인증 토큰을 받으세요. 반환된 예는 다음과 같습니다.

{
"AccessKeyId" : "XXXXXXXXX",
"AccessKeySecret" : "XXXXXXXXX",
"Expiration" : "2017-11-01T05:20:01Z",
"SecurityToken" : "XXXXXXXXX",
"LastUpdated" : "2017-10-31T23:20:01Z",
"Code" : "Success"
}

6. (선택 사항) RAM 사용자에게 인스턴스 RAM 역할을 사용하도록 권한을 부여합니다

설명

RAM 사용자에게 인스턴스 RAM 역할을 사용할 권한을 부여하려면 권한을 부여해야 합니다. RAM 사용자는 인스턴스 RAM 역할 PassRole 권한을 사용합니다. 그 중 PassRole은 역할 정책에 의해 부여된 권한을 RAM 사용자가 직접 실행할 수 있는지 여부를 결정합니다.

RAM 콘솔에 로그인하고 설명서를 참조하여 RAM 사용자에게 다음과 같이 인증을 완료하도록 권한을 부여하세요.

{
"Version": "2016-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs: [ECS RAM Action]",
"ecs: CreateInstance",
"ecs: AttachInstanceRamRole",
"ecs: DetachInstanceRAMRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ram:PassRole",
"Resource": "*"
}
]
}

위 내용은 RAM 서비스 활성화 후 API를 통해 인스턴스 RAM 역할을 사용하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!