配置專用網路存取控制時,ACR會自動為您建立一個服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,便於ACR通過您的雲解析PrivateZone自動進行網域名稱解析。本文介紹該服務關聯角色基本資料、常見問題以及如何刪除該服務關聯角色。
背景資訊
服務關聯角色是在某些情況下,為了完成ACR自身的某個功能,需要擷取其他雲端服務的存取權限而提供的RAM角色。更多服務關聯角色的資訊,請參見服務關聯角色。
應用情境
ACR的專用網路存取控制功能需要使用雲解析PrivateZone為VPC網域名稱設定DNS解析。建立專用網路時,ACR會自動建立服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,ACR會通過該角色擷取訪問雲解析PrivateZone內資源的許可權。
角色介紹
- 角色名稱:AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone
- 角色權限原則:AliyunServiceRolePolicyForContainerRegistryAccessCustomerPrivate
- 角色許可權說明:
{ "Action": [ "pvtz:AddZone", "pvtz:DeleteZone", "pvtz:BindZoneVpc", "pvtz:UpdateZoneRemark", "pvtz:SetProxyPattern", "pvtz:DescribeRegions", "pvtz:DescribeZoneInfo", "pvtz:DescribeZones", "pvtz:AddZoneRecord", "pvtz:DeleteZoneRecord", "pvtz:UpdateRecordRemark", "pvtz:DescribeZoneRecords" ], "Resource": "*", "Effect": "Allow" }
刪除角色
當您不需要使用專用網路存取控制功能時,您可以刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone角色。
- 刪除專用網路。
刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone之前,您需要先刪除專用網路。
在左側導覽列,選擇執行個體列表。
在執行個體列表頁面單擊目標企業版執行個體。
- 在企業版執行個體管理頁面選擇。
- 在專用網路頁簽下單擊專用網路右側操作列下的刪除。
- 在彈出的對話方塊單擊確定。
- 使用阿里雲帳號登入RAM控制台。
- 在控制台左側導覽列選擇。
- 在角色頁面搜尋方塊中搜尋AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,然後單擊AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone右側操作列下的刪除。
- 在彈出的對話方塊單擊確定。
FAQ
為什麼RAM使用者無法自動建立服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone?
您需要擁有指定的許可權,才能自動建立或刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone。RAM使用者無法自動建立AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone時,您需為其添加以下權限原則。具體操作,請參見RAM授權資訊。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:阿里雲帳號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"access-customer-privatezone.cr.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}