全部產品
Search
文件中心

:雲解析PrivateZone的服務關聯角色

更新時間:Dec 11, 2024

配置專用網路存取控制時,ACR會自動為您建立一個服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,便於ACR通過您的雲解析PrivateZone自動進行網域名稱解析。本文介紹該服務關聯角色基本資料、常見問題以及如何刪除該服務關聯角色。

背景資訊

服務關聯角色是在某些情況下,為了完成ACR自身的某個功能,需要擷取其他雲端服務的存取權限而提供的RAM角色。更多服務關聯角色的資訊,請參見服務關聯角色

應用情境

ACR的專用網路存取控制功能需要使用雲解析PrivateZone為VPC網域名稱設定DNS解析。建立專用網路時,ACR會自動建立服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,ACR會通過該角色擷取訪問雲解析PrivateZone內資源的許可權。

角色介紹

  • 角色名稱:AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone

  • 角色權限原則:AliyunServiceRolePolicyForContainerRegistryAccessCustomerPrivate

  • 角色許可權說明:

    {
        "Action": [
            "pvtz:AddZone",
            "pvtz:DeleteZone",
            "pvtz:BindZoneVpc",
            "pvtz:UpdateZoneRemark",
            "pvtz:SetProxyPattern",
            "pvtz:DescribeRegions",
        "pvtz:DescribeZoneInfo",
        "pvtz:DescribeZones",
        "pvtz:AddZoneRecord",
        "pvtz:DeleteZoneRecord",
        "pvtz:UpdateRecordRemark",
        "pvtz:DescribeZoneRecords"
        ],
      "Resource": "*",
      "Effect": "Allow"
    }

刪除角色

當您不需要使用專用網路存取控制功能時,您可以刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone角色。

  1. 刪除專用網路。

    刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone之前,您需要先刪除專用網路。

    1. 登入Container Registry控制台

    2. 在左側導覽列,選擇執行個體列表

    3. 執行個體列表頁面單擊目標企業版執行個體。

    4. 在企業版執行個體管理頁面選擇倉庫管理 > 存取控制

    5. 專用網路頁簽下單擊專用網路右側操作列下的刪除

    6. 在彈出的對話方塊單擊確定

  2. 使用阿里雲帳號登入RAM控制台

  3. 在控制台左側導覽列選擇身份管理 > 角色

  4. 角色頁面搜尋方塊中搜尋AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,然後單擊AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone右側操作列下的刪除角色

  5. 刪除角色的對話方塊中輸入角色名稱確認刪除操作,然後單擊確定

FAQ

為什麼RAM使用者無法自動建立服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone?

您需要擁有指定的許可權,才能自動建立或刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone。RAM使用者無法自動建立AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone時,您需為其添加以下權限原則。具體操作,請參見RAM授權資訊

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:阿里雲帳號ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "access-customer-privatezone.cr.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}