1. 部署地球号的时候遇到的阿里云子账户授权问题
让子账户访问域名管理
阿里云亚让子账户访问域名控制,并且让子账户能够解析需要: |权限|解释| |----|----| |AliyunDomainFullAccess管理如下名服务的权限|仅仅开这个权限只会让子账户看到域名,如果点解析,就会出现"用户无资源授权 或者该API不支持RAM"| |AliyunDNSFullAccess管理云解析的权限|| |AliyunPvtzFullAccess管理云解析PrivateZone的权限||
一般情况下,遇到给子账户赋予域名管理权限,本能上想到的是:domain,然后就会在权限列表搜到AliyunDomainFullAccess,但这个还不够,你还需要搜索"解析",会发现有AliyunDNSFullAccess和AliyunPvtzFullAccess两个权限
让子账户在设计API网关访问函数计算的时候发现arn授权失败
必须开启如下授权
| 权限 | 解释 |
|---|---|
| AliyunApiGatewayFullAccess 管理网关服务(ApiGateway)的权限 | 子账户要在控制台配置API网关,它就必须有网关的写操作,所以fullACCESS |
| AliyunFCFullAccess 管理函数计算(FC)服务的权限 | 因为API网关主要是调用并执行函数计算,所以账户还需要函数计算的权限 |
| AliyunFCInvocationAccess 调用函数计算(FC)服务函数的权限 | AG调用FC,还需要调用权限,为什么要设计这个权限? |
| AliyunRAMReadOnlyAccess 只读访问访问控制(RAM)的权限,即查看用户、组以及授权信息的权限 | 这个是为了创建AG调用FC调用授权 |