如果加载到云企业网(CEN)中的云连接网(CCN)的本地分支需要通过云企业网访问PrivateZone服务,此时需要进行授权。

场景一:同账号授权

如下表所示,如果云连接网、部署了PrivateZone服务的VPC和云企业网同属于一个账号,您可以在 PrivateZone页签,单击 点击授权,然后根据提示完成授权即可。
说明 您只有在第一次配置PrivateZone访问时需要为智能接入网关进行授权。
资源 所属账号(UID)
云企业网(CEN) 111111
专有网络(VPC) 111111
云连接网(CCN) 111111
授权后,系统会自动添加一个名称 AliyunSmartAGAccessingPVTZRole的RAM角色。您可以在 访问控制管理控制台RAM角色管理页面,查看该角色。

场景二:CCN账号不同

如下表所示,如果云企业网、部署了PrivateZone服务的VPC属于同一个账号,但云连接网(CCN)属于另外一个账号。此种情况下,您需要修改授权策略。

资源 所属账号(UID)
云企业网(CEN) 111111
专有网络(VPC) 111111
云连接网(CCN) 333333
参考以下操作,完成授权:
注意 以下操作需要使用VPC所属账号完成。
  1. 登录云企业网管理控制台
  2. 单击目标云企业网实例的ID。
  3. 单击PrivateZone,然后单击点击授权,根据提示完成授权。
    说明 您只有在第一次配置PrivateZone访问时需要为智能接入网关进行授权。
  4. 打开访问控制管理控制台
  5. 在左侧导航栏,单击RAM角色管理
  6. 在搜索框内输入AliyunSmartAGAccessingPVTZRole查找权限策略,然后单击查找到的策略名称。
  7. 单击信任策略管理页签,然后单击修改信任策略

  8. Service中添加一条云连接网所属账号ID@smartag.aliyuncs.com记录,然后单击确定

场景三:CEN账号不同

如下表所示,如果云连接网和部署了PrivateZone服务的VPC属于同一个账号,但云企业网(CEN)属于另外一个账号。此种情况下,需要使用VPC的账号创建授权策略。

资源 所属账号(UID)
云企业网(CEN) 333333
专有网络(VPC) 111111
云连接网(CCN) 111111

参考以下操作,完成授权:

  1. 使用VPC的账号登录RAM控制台
  2. 在左侧导航栏,单击RAM角色管理
  3. 根据以下信息配置RAM角色,然后单击确定
    • 选择可信实体类型:选择阿里云服务
    • 角色名称:输入AliyunSmartAGAccessingPVTZRole
    • 选择授信服务:选择智能接入网关


  4. 单击新建的RAM角色名称。
  5. 权限管理页签,单击添加权限
  6. 在搜索框中输入pvtz,然后单击AliyunPvtzReadOnlyAccess权限添加只读访问PrivateZone的权限。

  7. 授权成功后,单击信任策略管理页签查看授权信息。

场景四:所有账号都不同

如下表所示,如果云连接网、部署了PrivateZone服务的VPC和云企业网的账号都不同,此种情况下,需要完成如下两个授权任务:
资源 所属账号(UID)
云企业网(CEN) 111111
专有网络(VPC) 222222
云连接网(CCN) 333333
  1. 首先,参考场景三的方法,VPC的账号需要创建一个RAM角色完成授权。详细信息,请参见场景三:CEN账号不同

  2. 然后,参考场景二的方法,VPC的账号需要在已有的授权策略中添加云连接网服务,格式为云连接网所属账号ID@aliyuncs.com。详细信息,请参见场景二:CCN账号不同

如果有多个云连接网且云连接网的账号都不同,您只需要将所有需要访问PrivateZone的云连接网服务添加到授权策略中,如下图所示。
资源 所属账号(UID)
云企业网(CEN) 111111
专有网络(VPC) 222222
云连接网(CCN) 333333
云连接网(CCN) 444444
云连接网(CCN) 555555