全部產品
Search
文件中心

Bastionhost:授權訪問雲資源

更新時間:Jun 30, 2024

首次使用Bastionhost服務前,您需要先完成允許Bastionhost訪問雲資源的授權。本文介紹如何進行雲資源授權。

前提條件

  • 您已購買Bastionhost執行個體。更多資訊,請參見購買執行個體

  • 您使用的是阿里雲帳號或擁有建立和刪除服務關聯角色許可權的RAM使用者。

背景資訊

首次使用Bastionhost服務時,阿里雲會自動建立Bastionhost服務關聯角色AliyunServiceRoleForBastionhost,授權Bastionhost訪問其他關聯的雲端服務。服務關聯角色無需您手動建立或做任何修改。相關內容,請參見服務關聯角色

操作步驟

  1. 登入Bastionhost控制台

  2. 歡迎使用Bastionhost對話方塊中,單擊確認建立

    您購買Bastionhost執行個體後,首次登入Bastionhost控制台時,Bastionhost頁面會提示您建立服務關聯角色的流程。

    當您單擊確認建立後,阿里雲將自動為您建立Bastionhost服務關聯角色AliyunServiceRoleForBastionhost。您可以在RAM控制台查看阿里雲為Bastionhost自動建立的服務關聯角色。只有建立服務關聯角色AliyunServiceRoleForBastionhost後,您的Bastionhost執行個體才能訪問Elastic Compute Service、Virtual Private Cloud等雲端服務的資源,對伺服器進行營運審計等操作。

Bastionhost服務關聯角色介紹

通過Bastionhost進行營運時,Bastionhost需要訪問Elastic Compute Service和Virtual Private Cloud等雲端服務的資源,您可通過系統自動建立的Bastionhost服務關聯角色AliyunServiceRoleForBastionhost擷取存取權限。

以下是Bastionhost服務關聯角色的介紹:

  • 角色名稱:AliyunServiceRoleForBastionhost

  • 權限原則名稱:AliyunServiceRolePolicyForBastionhost

    說明

    該權限原則為系統預設提供的策略,其策略名稱稱和策略內容都不支援修改。

  • 權限原則樣本:

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "rds:DescribeDBInstanceNetInfo",
                    "rds:DescribeDBInstances",
                    "rds:DescribeDBInstanceAttribute",
                    "ecs:DescribeInstances",
                    "ecs:DescribeImages",
                    "ecs:DescribeZones",
                    "ecs:DescribeRegions",
                    "ecs:DescribeTags",
                    "ecs:DescribeSecurityGroups",
                    "ecs:DescribeSecurityGroupAttribute",
                    "ecs:AuthorizeSecurityGroup",
                    "ecs:DescribeSecurityGroups",
                    "ecs:DescribeSecurityGroupReferences",
                    "ecs:CreateSecurityGroup",
                    "ecs:RevokeSecurityGroup",
                    "ecs:DeleteSecurityGroup",
                    "ecs:ModifySecurityGroupAttribute",
                    "ecs:ModifySecurityGroupPolicy",
                    "ecs:ModifySecurityGroupRule",
                    "ecs:CreateNetworkInterface",
                    "ecs:DeleteNetworkInterface",
                    "ecs:DescribeNetworkInterfaces",
                    "ecs:CreateNetworkInterfacePermission",
                    "ecs:DescribeNetworkInterfacePermissions",
                    "ecs:DeleteNetworkInterfacePermission",
                    "ecs:DetachNetworkInterface",
                    "ecs:AttachNetworkInterface",
                    "ecs:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "vpc:DescribeVpcAttribute",
                    "vpc:DescribeVSwitchAttributes"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ram:DeleteServiceLinkedRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": "bastionhost.aliyuncs.com"
                    }
                }
            }
        ]
    }

刪除服務關聯角色

如果不再需要使用Bastionhost服務,您可以刪除Bastionhost服務關聯角色AliyunServiceRoleForBastionhost。在刪除服務關聯角色前您需要先釋放已有的Bastionhost執行個體。在釋放已有的Bastionhost執行個體後,您可以參考以下步驟在RAM控制台刪除Bastionhost服務關聯角色。

  1. 登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面,使用搜尋功能定位到Bastionhost服務關聯角色AliyunServiceRoleForBastionhost,在操作列,單擊刪除角色

  4. 刪除角色對話方塊,輸入RAM角色名稱,然後單擊刪除角色

相關問題

為什麼我的RAM使用者無法自動建立Bastionhost服務關聯角色AliyunServiceRoleForBastionhost?

您需要擁有指定的許可權,才能自動建立或刪除AliyunServiceRoleForBastionhost。因此,在RAM使用者無法自動建立AliyunServiceRoleForBastionhost時,您需為RAM使用者添加以下權限原則。詳細操作步驟指導,請參見為RAM角色授權

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主帳號ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "bastionhost.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}