雲治理中心提供了AliyunServiceRoleForGovernance、AliyunServiceRoleForGovernanceSetup、AliyunServiceRoleForGovernanceNetworkBlueprint和AliyunServiceRoleForGovernanceCloudNativeBlueprint四個服務關聯角色。本文為您介紹如何建立、查看和刪除這些服務關聯角色。
概述
服務關聯角色是一種可信實體為阿里雲服務的RAM角色,旨在解決跨雲端服務的授權訪問問題。雲治理中心提供的服務關聯角色如下表所示。
服務關聯角色名稱 | 雲端服務標識 | 權限原則名稱 |
governance.aliyuncs.com | AliyunServiceRolePolicyForGovernance | |
setup.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceSetup | |
blueprint-network.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceNetworkBlueprint | |
blueprint-cloud-native.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceCloudNativeBlueprint |
更多資訊,請參見服務關聯角色。
AliyunServiceRoleForGovernance
應用情境
服務關聯角色會建立在資來源目錄的管理帳號內,應用情境如下:
當雲治理中心協助您初始化資源結構時,需要通過服務關聯角色開通資來源目錄、建立資源夾、建立成員和查詢管理帳號的財務結算關係等。
當雲治理中心為您展示和管理資來源目錄結構時,需要通過服務關聯角色擷取即時的資來源目錄結構資訊,完成刪除資源夾和移動成員等操作。
建立服務關聯角色
開通雲治理中心時,會要求您建立該服務關聯角色。更多資訊,請參見開通雲治理中心。
查看服務關聯角色
當服務關聯角色建立成功後,您可以登入管理帳號,在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForGovernance查看該服務關聯角色的以下資訊:
基本資料
在角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容。
說明您只能通過服務關聯角色,查看其關聯的權限原則內容,不能在RAM控制台的權限原則頁面直接查看該權限原則。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
關於如何查看服務關聯角色,請參見查看RAM角色。
刪除服務關聯角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用雲治理中心或者需要登出阿里雲帳號時,您可能需要手動刪除服務關聯角色。
AliyunServiceRoleForGovernanceSetup
應用情境
服務關聯角色會建立在成員中,應用情境如下:
當雲治理中心需要在資來源目錄的成員中進行配置時,例如:在日誌帳號內設定審計日誌投遞等,需要通過服務關聯角色再建立一個專屬於該任務的RAM角色,並授予相應的許可權供雲治理中心使用。
當您準備刪除該服務關聯角色時,雲治理中心需要通過該服務關聯角色查詢當前帳號所在的資來源目錄,確定是否可以刪除。
建立服務關聯角色
雲治理中心在進行Landing Zone搭建時,會自動在所需成員中建立服務關聯角色。
查看服務關聯角色
當服務關聯角色建立成功後,您可以訪問成員,在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForGovernanceSetup查看該服務關聯角色的以下資訊:
基本資料
在角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容。
說明您只能通過服務關聯角色,查看其關聯的權限原則內容,不能在RAM控制台的權限原則頁面直接查看該權限原則。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
刪除服務關聯角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用雲治理中心或者需要登出阿里雲帳號時,您可能需要手動刪除服務關聯角色。
您需要先將成員從資來源目錄中移除,才能刪除成員中的服務關聯角色。
AliyunServiceRoleForGovernanceNetworkBlueprint
應用情境
服務關聯角色會建立在成員中,應用情境如下:
當雲治理中心需要在資來源目錄的成員中進行網路設定時,例如:在共用服務帳號內配置雲企業網等,需要通過服務關聯角色開通雲企業網、建立雲企業網執行個體和配置路由規則等。
當您準備刪除該服務關聯角色時,雲治理中心需要通過該服務關聯角色查詢當前成員所在的資來源目錄,確定是否可以刪除。
建立服務關聯角色
雲治理中心在進行網路初始化配置時,會自動在對應成員中建立服務關聯角色。
查看服務關聯角色
當服務關聯角色建立成功後,您可以訪問成員,在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForGovernanceNetworkBlueprint查看該服務關聯角色的以下資訊:
基本資料
在角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容。
說明您只能通過服務關聯角色,查看其關聯的權限原則內容,不能在RAM控制台的權限原則頁面直接查看該權限原則。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
刪除服務關聯角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用雲治理中心或者需要登出阿里雲帳號時,您可能需要手動刪除服務關聯角色。
您需要先將成員從資來源目錄中移除,才能刪除成員中的服務關聯角色。
AliyunServiceRoleForGovernanceCloudNativeBlueprint
應用情境
服務關聯角色會建立在成員中,應用情境如下:
當雲治理中心需要在資來源目錄的成員中進行雲原生配置時,例如:在共用服務帳號內配置容器叢集等,需要通過服務關聯角色開通Container Service、建立容器叢集等。
當您準備刪除該服務關聯角色時,雲治理中心需要通過該服務關聯角色查詢當前成員所在的資來源目錄,確定是否可以刪除。
建立服務關聯角色
雲治理中心在進行雲原生初始化配置時,會自動在所需成員中建立服務關聯角色。
查看服務關聯角色
當服務關聯角色建立成功後,您可以訪問成員,在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForGovernanceCloudNativeBlueprint查看該服務關聯角色的以下資訊:
基本資料
在角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容。
說明您只能通過服務關聯角色,查看其關聯的權限原則內容,不能在RAM控制台的權限原則頁面直接查看該權限原則。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
刪除服務關聯角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用雲治理中心或者需要登出阿里雲帳號時,您可能需要手動刪除服務關聯角色。
您需要先將成員從資來源目錄中移除,才能刪除成員中的服務關聯角色。