首次使用Bastionhost服務前,您需要先完成允許Bastionhost訪問雲資源的授權。本文介紹如何進行雲資源授權。
前提條件
您已購買Bastionhost執行個體。更多資訊,請參見購買執行個體。
您使用的是阿里雲帳號或擁有建立和刪除服務關聯角色許可權的RAM使用者。
背景資訊
首次使用Bastionhost服務時,阿里雲會自動建立Bastionhost服務關聯角色AliyunServiceRoleForBastionhost,授權Bastionhost訪問其他關聯的雲端服務。服務關聯角色無需您手動建立或做任何修改。相關內容,請參見服務關聯角色。
操作步驟
在歡迎使用Bastionhost對話方塊中,單擊確認建立。
您購買Bastionhost執行個體後,首次登入Bastionhost控制台時,Bastionhost頁面會提示您建立服務關聯角色的流程。
當您單擊確認建立後,阿里雲將自動為您建立Bastionhost服務關聯角色AliyunServiceRoleForBastionhost。您可以在RAM控制台查看阿里雲為Bastionhost自動建立的服務關聯角色。只有建立服務關聯角色AliyunServiceRoleForBastionhost後,您的Bastionhost執行個體才能訪問Elastic Compute Service、Virtual Private Cloud等雲端服務的資源,對伺服器進行營運審計等操作。
Bastionhost服務關聯角色介紹
通過Bastionhost進行營運時,Bastionhost需要訪問Elastic Compute Service和Virtual Private Cloud等雲端服務的資源,您可通過系統自動建立的Bastionhost服務關聯角色AliyunServiceRoleForBastionhost擷取存取權限。
以下是Bastionhost服務關聯角色的介紹:
角色名稱:AliyunServiceRoleForBastionhost
權限原則名稱:AliyunServiceRolePolicyForBastionhost
說明該權限原則為系統預設提供的策略,其策略名稱稱和策略內容都不支援修改。
權限原則樣本:
{ "Version": "1", "Statement": [ { "Action": [ "rds:DescribeDBInstanceNetInfo", "rds:DescribeDBInstances", "rds:DescribeDBInstanceAttribute", "ecs:DescribeInstances", "ecs:DescribeImages", "ecs:DescribeZones", "ecs:DescribeRegions", "ecs:DescribeTags", "ecs:DescribeSecurityGroups", "ecs:DescribeSecurityGroupAttribute", "ecs:AuthorizeSecurityGroup", "ecs:DescribeSecurityGroups", "ecs:DescribeSecurityGroupReferences", "ecs:CreateSecurityGroup", "ecs:RevokeSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:ModifySecurityGroupAttribute", "ecs:ModifySecurityGroupPolicy", "ecs:ModifySecurityGroupRule", "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission", "ecs:DetachNetworkInterface", "ecs:AttachNetworkInterface", "ecs:ModifyNetworkInterfaceAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:DescribeVpcAttribute", "vpc:DescribeVSwitchAttributes" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "bastionhost.aliyuncs.com" } } } ] }
刪除服務關聯角色
如果不再需要使用Bastionhost服務,您可以刪除Bastionhost服務關聯角色AliyunServiceRoleForBastionhost。在刪除服務關聯角色前您需要先釋放已有的Bastionhost執行個體。在釋放已有的Bastionhost執行個體後,您可以參考以下步驟在RAM控制台刪除Bastionhost服務關聯角色。
登入RAM控制台。
在左側導覽列,選擇 。
在角色頁面,使用搜尋功能定位到Bastionhost服務關聯角色AliyunServiceRoleForBastionhost,在操作列,單擊刪除角色。
在刪除角色對話方塊,輸入RAM角色名稱,然後單擊刪除角色。
相關問題
為什麼我的RAM使用者無法自動建立Bastionhost服務關聯角色AliyunServiceRoleForBastionhost?
您需要擁有指定的許可權,才能自動建立或刪除AliyunServiceRoleForBastionhost。因此,在RAM使用者無法自動建立AliyunServiceRoleForBastionhost時,您需為RAM使用者添加以下權限原則。詳細操作步驟指導,請參見為RAM角色授權。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:主帳號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"bastionhost.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}