多用户访问控制

    使用角色

    通过创建角色操作,你拥有了一个被授予特定权限的角色,且该角色可以被某个云账户使用。本节将以被信任账户的角度,介绍如何作为被信任的用户,使用角色访问信任账户的云资源。为方便理解,这里假设云资源及角色所在账户ID为111111111,角色名称RoleA,拥有BCC服务器Server001的运维权限,被信任云账户为 222222222,希望为子用户UserB授予代入角色RoleA的权限。

    先决条件

    1. 拥有被信任账户222222222的系统管理员权限;
    2. 子用户UserB拥有有效的获取AKSK;
    3. 子用户UserB拥有目标账户的账户ID和角色名称。

    操作步骤

    控制台代入角色

    1. 使用账户2222222管理员账户登录百度智能云控制台;
    2. 为子用户UserB授 STSAssumeRoleAccess策略权限, 具体操作请参考用户授权;
    3. 子用户UserB登录控制台,鼠标移动到页面右上角头像处,点击按钮切换身份跳转页面;
    4. 在跳转页面中输入目标账户的账户ID、角色名称后,点击切换后进入目标角色空间;
    5. 如需返回子用户UserB所在账户,需要将鼠标移动到页面右上角头像处,点击按钮返回UserB

    image.png

    使用API代入角色

    1. 使用账户222222222的管理员账户登录百度智能云控制台
    2. 为子用户UserB授予STSAssumeRoleAccess策略权限,具体操作请参考用户授权
    3. 子用户UserB通过AssumeRole API,替换参数accountID为111111111,roleName为RoleA,即可以代入账户111111111的角色RoleA。默认情况下,角色会话会持续2小时,你也可以在使用AssumeRoleAPI时设定参数durationSeconds具体有效时间,这个时间不能超过2小时;

    4. 此时,子用户UserB将得到角色RoleA的临时凭证,并暂时放弃其在账户222222222的权限,具备了运维服务器Server001的权限。在访问Server001时,需要将AK/SK 替换为AssumeRoleAPI返回的临时AK/SK,并将Token更换为返回的SessionToken
    上一篇
    创建角色
    下一篇
    管理角色