服務關聯角色SLR(Service-linked role)是一種可信實體為阿里雲服務的RAM角色。Auto Scaling使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。
通常情況下,服務關聯角色是在您執行某項操作時,由系統自動建立。在自動建立服務關聯角色失敗或Auto Scaling不支援自動建立時,您需要手動建立服務關聯角色。
阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則,該策略不支援修改。如果您想瞭解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。詳情請參見AliyunESSFullAccess。
應用情境
首次建立伸縮組時,Auto Scaling需要手動建立服務關聯角色
AliyunServiceRoleForAutoScaling,通過該服務關聯角色獲得關聯雲資源的存取權限,例如ECS、VPC等的存取權限。已建立的服務關聯角色
AliyunServiceRoleForAutoScaling被刪除後,再次建立伸縮組時,您需要重新建立服務關聯角色AliyunServiceRoleForAutoScaling。
RAM使用者使用服務關聯角色需要的許可權
如果使用RAM使用者建立或刪除服務關聯角色,必須聯絡管理員為該RAM使用者授予管理員權限(AliyunServiceRoleForAutoScaling)或在自訂權限原則的Action語句中為RAM使用者添加以下許可權:
建立服務關聯角色:
ram:CreateServiceLinkedRole刪除服務關聯角色:
ram:DeleteServiceLinkedRole
關於授權的詳細操作,請參見建立和刪除服務關聯角色所需的許可權。
建立服務關聯角色
在您使用Auto Scaling時,系統會檢查當前帳號是否已有服務關聯角色AliyunServiceRoleForAutoScaling。如果不存在,控制台會提示您許可權不足,然後需要您授權後系統自動建立該服務關聯角色。具體操作,請參見建立AliyunServiceRoleForAutoScaling。
服務關聯角色建立成功後,受信雲端服務可以通過角色扮演的方式跨服務訪問對應雲資源,可能會因建立Elastic Compute Service、Virtual Private Cloud、雲資料庫RDS等而產生資費,請您知悉。
此外,您也可以通過RAM控制台或API方式為Auto Scaling手動建立服務關聯角色。具體操作,請參見建立服務關聯角色和CreateServiceLinkedRole。
查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForAutoScaling查看該服務關聯角色的以下資訊:
Auto Scaling服務關聯角色(AliyunServiceRoleForAutoScaling)包含了系統權限原則AliyunServiceRolePolicyForAutoScaling,服務關聯角色包含的權限原則由對應的雲端服務定義和使用,您不能為服務關聯角色添加、修改或刪除許可權。您可以在角色詳情中查看角色包含的權限原則等資訊(如下圖所示),具體操作,請參見查看RAM角色。
基本資料
在
AliyunServiceRoleForAutoScaling角色詳情頁的基本資料地區,查看角色的基本資料,包括角色名稱、建立時間、角色ARN和備忘等。權限原則
在
AliyunServiceRoleForAutoScaling角色詳情頁的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容以及該角色可授權訪問哪些雲資源。信任策略
在
AliyunServiceRoleForAutoScaling角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的Service欄位查看。
關於如何查看服務關聯角色的詳細操作,請參見查看RAM角色。
刪除服務關聯角色
刪除AliyunServiceRoleForAutoScaling前,必須先刪除當前帳號下所有地區中的Auto Scaling資源,包括伸縮組、定時任務和警示任務,否則會提示刪除失敗。
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
如果您暫時不需要使用AliyunServiceRoleForAutoScaling,例如不需要伸縮組建立和管理資源。確定不使用該角色時,可以刪除AliyunServiceRoleForAutoScaling。具體操作,請參見刪除RAM角色。