![][1] ## 什么是STS? ## > 阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。 ## 场景 ## - 我有一个账户Account A,里面有个员工:张三,张三需要访问Account B的云虚拟机的资源 ## 实现 ## **第一步:在Account A中创建一个用户:张三** ![创建用户][2] ---------- **第二步:赋予张三STS的权限,用于通过该权限获取Account B的临时身份凭证,凭借该凭证即可访问Account B资源** ![添加权限][3] ---------- ![选择sts权限][4] ---------- **此时,Account A的工作就完成了,我们创建了一个名叫张三的用户,并赋予了他STS的权限,切换到Account B中创建一个具有访问全部资源权限的跨账户角色(因为是测试,不做详细的策略限制,统一授权全部资源)** ![][5] ![][6] 点击授权,给李四角色赋予AdministratorAccess权限,即所有云资源的权限,真实生产环境中注意使用精确授权 ---------- ![][7] **此时,所有的配置就完成了,我们现在返回Account A,打开张三用户的详情,复制张三的登入名称,之后退出登入,选用RAM登入选项,输入张三的登入名称及密码,登入到张三的用户下** ![][8] ![][9] ![][10] **这时,系统会提示我们没有权限,关闭即可,因为我们没有对张三赋予任何的云资源权限,只有STS,所以提示是正常,鼠标移动到头像处,选择切换身份,输入Account B的ID 及刚刚创建的角色名 lisi 即可登入到Account B账户了** ![][11] ![][12] ![][13] [1]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/STS.jpg [2]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/1.png [3]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/2.png [4]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/3.png [5]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/4.png [6]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/5.png [7]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/6.png [8]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/7.png [9]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/8.png [10]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/9.png [11]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/10.png [12]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/11.png [13]: https://adblogs.oss-cn-shanghai.aliyuncs.com/imgs/cloud/12.png 最后修改:2022 年 04 月 07 日 © 允许规范转载 打赏 赞赏作者 支付宝微信 赞 1 如果觉得我的文章对你有用,请随意赞赏
1 条评论