服務關聯角色是某個雲端服務在某些情況下,為了完成自身的某個功能,需要擷取其他雲端服務的存取權限而提供的RAM角色。通常情況下,服務關聯角色是在您執行某項操作時,由系統自動建立。在自動建立服務關聯角色失敗或雲訊息佇列 RocketMQ 版不支援自動建立時,您需要手動建立服務關聯角色。
背景資訊
阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則,該策略不支援修改。如果您想瞭解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。具體資訊,請參見系統策略參考。
支援的服務關聯角色
雲訊息佇列 RocketMQ 版提供以下服務關聯角色,系統將會在您首次使用相關功能時,自動建立對應的服務關聯角色。
例如,您首次使用雲訊息佇列 RocketMQ 版儀錶盤功能時,系統會自動建立AliyunServiceRoleForOns服務關聯角色。
角色名稱 | 角色權限原則 | 角色許可權 |
AliyunServiceRoleForOns | AliyunServiceRolePolicyForOns | 雲訊息佇列 RocketMQ 版通過扮演該RAM角色,可獲得如下許可權:
|
策略內容
AliyunServiceRoleForOns
服務關聯角色AliyunServiceRoleForOns被授與權限策略AliyunServiceRolePolicyForOns的策略內容如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"cms:DescribeMetricRuleList",
"cms:DescribeMetricList",
"cms:DescribeMetricData"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"arms:OpenVCluster",
"arms:ListDashboards",
"arms:CheckServiceStatus"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ons.aliyuncs.com"
}
}
}
]
}查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面查看該服務關聯角色的以下資訊:
基本資料
在角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容。
說明您只能通過服務關聯角色,查看其關聯的權限原則內容,不能在RAM控制台的權限原則頁面直接查看該權限原則。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
關於如何查看服務關聯角色,請參見查看RAM角色。
刪除服務關聯角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用Security Center或者需要登出阿里雲帳號前,您可能需要在存取控制管理主控台手動刪除服務關聯角色。具體操作,請參見刪除RAM角色。
常見問題
為什麼我的RAM使用者無法自動建立訊息佇列RocketMQ版服務關聯角色AliyunServiceRoleForOns?
如果阿里雲帳號已經建立了服務關聯角色,RAM使用者就會繼承該阿里雲帳號的服務關聯角色。如果沒有繼承,請登入RAM控制台為其添加以下權限原則。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:阿里雲帳號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ons.aliyuncs.com"
}
}
}
],
"Version": "1"
}請將阿里雲帳號ID替換為您實際的阿里雲帳號ID。
如果您的RAM使用者被授予該權限原則後,仍然無法自動建立服務關聯角色,請為該RAM使用者授予以下任一權限原則:
AliyunMQFullAccess
AliyunMQPubOnlyAccess
AliyunMQSubOnlyAccess
以上權限原則的更多資訊,請參見系統權限原則。