Rumah >Operasi dan penyelenggaraan >operasi dan penyelenggaraan linux >开通 RAM 服务之后如何通过 API 使用实例 RAM 角色
本文在介绍开通 RAM 服务之后如何通过 API 使用实例 RAM 角色的基础上,重点探讨了其操作步骤。
通过 API 使用实例 RAM 角色
使用限制
使用实例 RAM 角色存在如下限制:
只有专有网络 (VPC) 网络类型的 ECS 实例才能使用实例 RAM 角色。
一个 ECS 实例一次只能授予一个实例 RAM 角色。
当您给 ECS 实例授予了实例 RAM 角色后,并希望在 ECS 实例内部部署的应用程序中访问云产品的 API 时,您需要通过 实例元数据 获取实例 RAM 角色的临时授权 Token。参阅 5. (可选)获取临时授权 Token。
如果您是通过 RAM 用户子账号使用实例 RAM 角色,您需要通过云账号 6. (可选)授权 RAM 用户使用实例 RAM 角色。
前提条件
您已经开通 RAM 服务,参阅 RAM 文档 开通方法 开通 RAM 服务。
1. 创建实例 RAM 角色
调用接口 CreateRole 创建实例 RAM 角色。
设置 RoleName 参数,如将其值置为 EcsRamRoleDocumentTesting。
按如下策略设置 AssumeRolePolicyDocument:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "ecs.aliyuncs.com" ] } } ], "Version": "1" }
2. 授权实例 RAM 角色
调用接口 CreatePolicy 新建授权策略。
设置 RoleName 参数,如将其值置为 EcsRamRoleDocumentTestingPolicy。
按如下策略设置 PolicyDocument:
{ "Statement": [ { "Action": [ "oss:Get*", "oss:List*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
调用接口 AttachPolicyToRole 授权角色策略。
设置 PolicyType 参数为 Custom。
设置 PolicyName 参数,如 EcsRamRoleDocumentTestingPolicy。
设置 RoleName 参数,如 EcsRamRoleDocumentTesting。
3. 授予实例 RAM 角色
调用接口 AttachInstanceRamRole 为实例授予 RAM 角色。
设置 RegionId 及 InstanceIds 参数指定一个 ECS 实例。
设置 RamRoleName 参数,如 EcsRamRoleDocumentTesting。
4. (可选)收回实例 RAM 角色
调用接口 DetachInstanceRamRole 收回实例 RAM 角色。
设置 RegionId 及 InstanceIds 参数指定一个 ECS 实例。
设置 RamRoleName 参数,如 EcsRamRoleDocumentTesting。
5. (可选)获取临时授权 Token
您可以获得实例 RAM 角色的临时授权 Token,该临时授权 Token 可以执行实例 RAM 角色的权限和资源,并且该临时授权 Token 会自动周期性地更新。示例:
检索名为 EcsRamRoleDocumentTesting 的实例 RAM 角色的临时授权 Token:
Linux 实例: 执行命令 curl http://100.100.100.200/latest/meta-data/Ram/security-credentials/EcsRamRoleDocumentTesting 。
Windows 实例:参阅文档 实例元数据。
获得临时授权 Token。返回示例如下:
{ "AccessKeyId" : "XXXXXXXXX", "AccessKeySecret" : "XXXXXXXXX", "Expiration" : "2017-11-01T05:20:01Z", "SecurityToken" : "XXXXXXXXX", "LastUpdated" : "2017-10-31T23:20:01Z", "Code" : "Success" }
6. (可选)授权 RAM 用户使用实例 RAM 角色
说明
当您授权 RAM 用户使用实例 RAM 角色时,您必须授权 RAM 用户对该实例 RAM 角色的 PassRole 权限。其中,PassRole 决定该 RAM 用户能否直接执行角色策略赋予的权限。
登录 RAM 控制台,参阅文档 为 RAM 用户授权 完成授权,如下所示:
{ "Version": "2016-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: [ECS RAM Action]", "ecs: CreateInstance", "ecs: AttachInstanceRamRole", "ecs: DetachInstanceRAMRole" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "*" } ] }
Atas ialah kandungan terperinci 开通 RAM 服务之后如何通过 API 使用实例 RAM 角色. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!