本文介绍了如何在控制台创建、授权实例RAM角色,并将其授予ECS实例。

前提条件

  • 待授予实例RAM角色的ECS实例网络类型必须是专有网络VPC。
  • 如果您是通过RAM用户操作本文示例,您需要通过云账号授权RAM用户允许使用实例RAM角色。 具体操作,请参见 授权RAM用户使用实例RAM角色

背景信息

当您给ECS实例授予了实例RAM角色后,并希望在ECS实例内部部署的应用程序中访问阿里云产品的API时,您需要通过实例元数据获取实例RAM角色的临时授权Token。 具体操作,请参见 通过API使用实例RAM角色

操作步骤

本文示例使用云账号在RAM控制台创建一个实例RAM角色,并将其授予ECS实例:
  1. 步骤一:创建实例RAM角色
  2. 步骤二:为RAM角色授予权限
  3. 步骤三:为实例授予RAM角色

步骤一:创建实例RAM角色

按以下步骤在访问控制RAM控制台创建一个实例RAM角色:

  1. 使用阿里云账号登录 RAM控制台
  2. 在左侧导航栏,选择 身份管理 > 角色
  3. 角色 页面,单击 创建角色
  4. 创建角色 面板,选择可信实体类型选择为 阿里云服务 ,然后单击 下一步
    阿里云服务 用于授权ECS实例访问或管理您的云资源。RAM角色选择 阿里云服务 类型后,支持授予给ECS实例。 创建RAM角色
    说明
    如果您的RAM角色选择 阿里云账号 等类型,创建结束后需要在RAM角色的 信任策略管理 页签,单击 修改信任策略 手动添加以下ECS服务授权策略。 
    "Service": [
    "ecs.aliyuncs.com"
]
  5. 选择角色类型为 普通服务角色
  6. 输入 角色名称 备注
  7. 选择受信服务为 云服务器
  8. 单击 完成
  9. 单击 关闭
配置完成后,单击角色名称,在RAM角色的 信任策略管理 页签中,确认是否包含以下ECS服务授权策略。 ecs服务

步骤二:为RAM角色授予权限

按以下步骤在访问控制RAM控制台授权实例RAM角色一个系统权限或者自定义权限:

  1. 使用阿里云账号登录 RAM控制台
  2. (可选)如果您不使用系统权限,可以参见 账号访问控制 创建自定义权限策略章节创建一个自定义策略。
  3. 在左侧导航栏,选择 身份管理 > 角色
  4. 角色 页面,单击目标RAM角色 操作 列的 精确授权
  5. 添加权限 面板,选择权限策略类型为 系统策略 自定义策略 ,然后输入权限策略名称。
  6. 单击 确定
  7. 单击 关闭

步骤三:为实例授予RAM角色

按以下步骤在ECS控制台为一台ECS实例授予实例RAM角色:
说明 一台ECS实例一次只能授予一个实例RAM角色。
  1. 登录 ECS管理控制台
  2. 在左侧导航栏,选择 实例与镜像 > 实例
  3. 在顶部菜单栏左上角处,选择地域。
  4. 找到要操作的ECS实例,选择 图标 > 实例设置 > 授予/收回RAM角色
  5. 在弹窗中,选择创建好的实例RAM角色,单击 确定 完成授予。

您也可以在创建ECS实例时,在 系统配置 页面的 实例RAM角色 属性中为实例选择已创建好的实例RAM角色。更多信息,请参见 使用向导创建实例