文档中心 访问管理 用户指南 角色 为子账号赋予扮演角色策略

为子账号赋予扮演角色策略

最近更新时间:2018-08-31 14:55:45

作为角色载体的主账号可以允许其子账号对角色进行扮演,这里我们通过一个案例让您轻松了解如何为子账号创建并赋予扮演角色的策略。

假设如下场景,公司 A 有一个运维工程师的职位,并且希望将该职位外包给公司 B,该职位需要操作公司 A 广州地域所有云服务器资源。

公司 A 企业账号 CompanyExampleA(ownerUin 为 12345),创建一个角色并将角色载体设置为公司 B 的企业账号 CompanyExampleB(ownerUin 为 67890)。公司 A(CompanyExampleA)调用 CreateRole 接口创建一个角色名称(roleName)为 DevOpsRole 的角色,公司 A 企业账号 CompanyExampleA 为创建的角色 DevOpsRole 附加了权限。上述步骤请参阅 通过 API 创建

公司 B 企业账号(CompanyExampleB)被授权这个角色后,希望由⼦账号 DevB 来完成这项工作。公司 B(CompanyExampleB)需要授权子账号 DevB 可以申请扮演公司 A(CompanyExampleA)的角色 DevOpsRole:

  1. 创建策略 AssumeRole,示例如下:
    {
    "version": "2.0",
    "statement": [{
        "effect": "allow",
        "action": ["name/sts:AssumeRole"],
        "resource": ["qcs::cam::uin/12345:roleName/DevOpsRole"]
    }]
    }
    
  2. 将该策略授权给子账号 DevB。子账号即被赋予了扮演角色 DevOpsRole 的权限。

拥有扮演角色的权限后如何使用角色,请参阅 使用角色