Cloud Backup使用服務關聯角色擷取Elastic Compute Service、Virtual Private Cloud、Object Storage Service、Apsara File Storage NAS等資源的存取權限。通常情況下,服務關聯角色是在您開啟某項備份功能、建立備份計劃或者為資料來源關聯備份策略時時,由Cloud Backup自動建立。在自動建立服務關聯角色失敗或Cloud Backup不支援自動建立時,您需要手動建立服務關聯角色。
背景資訊
服務關聯角色是一種可信實體為阿里雲服務的RAM角色。雲備份使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。
通常情況下,服務關聯角色是在您執行某項操作時,由系統自動建立。在自動建立服務關聯角色失敗或雲備份不支援自動建立時,您需要手動建立服務關聯角色。
阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則,該策略不支援修改。如果您想瞭解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。詳情請參見雲備份系統權限原則參考。
應用情境
Cloud Backup會在以下情境中,為您自動建立服務關聯角色。
在您開啟某項備份功能、建立備份計劃或為資料來源綁定備份策略時,自動為您建立服務關聯角色。
AliyunServiceRoleForHbrEcsBackup
在您使用ECS備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrEcsBackup擷取訪問Elastic Compute Service和Virtual Private Cloud的資源許可權。通過該服務關聯角色,ECS備份功能可以獲得Elastic Compute Service和Virtual Private Cloud等存取權限。
AliyunServiceRoleForHbrOssBackup
在您使用OSS備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrOssBackup擷取訪問Object Storage Service雲端服務的資源許可權。通過該服務關聯角色,OSS備份功能可以獲得Object Storage Service的存取權限。
AliyunServiceRoleForHbrNasBackup
在您使用NAS備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrNasBackup擷取訪問Apsara File Storage NAS雲端服務的資源許可權。通過該服務關聯角色,NAS備份功能可以獲得Apsara File Storage NAS的存取權限。
AliyunServiceRoleForHbrCsgBackup
在您使用Cloud Storage Gateway備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrCsgBackup擷取訪問Cloud Storage Gateway雲端服務的資源許可權。通過該服務關聯角色,CSG備份功能可以獲得Cloud Storage GatewayCSG的存取權限。
AliyunServiceRoleForHbrVaultEncryption
在您使用KMS祕密金鑰加密備份庫功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrVaultEncryption擷取存取金鑰管理服務KMS雲端服務的資源許可權。通過該服務關聯角色,加密備份庫功能可以獲得Key Management Service的存取權限。
AliyunServiceRoleForHbrOtsBackup
在您使用Table Store備份庫功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrOtsBackup擷取訪問Table Store雲端服務的資源許可權。通過該服務關聯角色,Table Store備份功能可以獲得Table Store的存取權限。
AliyunServiceRoleForHbrCrossAccountBackup
在您使用跨帳號備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrCrossAccountBackup擷取訪問您在其他雲產品中的資源許可權。通過該服務關聯角色,跨帳號備份功能可以獲得您在其他雲產品中資源的存取權限。
AliyunServiceRoleForHbrEcsEncryption
在您使用ECS整機備份功能開啟異地複寫需要指定異地加密的KMS密鑰時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrEcsEncryption擷取訪問您在Key Management Service的資源許可權。通過該服務關聯角色,此功能可以獲得Key Management Service的存取權限。
AliyunServiceRoleForHbrMagpieBridge
在您使用ECS檔案備份和本地檔案備份功能時,Cloud Backup將根據備份用戶端通訊方式自動建立服務關聯角色AliyunServiceRoleForHbrMagpieBridge擷取訪問您雲備份服務的資源許可權。通過該服務關聯角色,備份用戶端可以獲得雲備份服務的存取權限。
許可權說明
Cloud Backup服務關聯角色的許可權內容如下:
RAM使用者使用服務關聯角色需要的許可權
如果使用RAM使用者建立或刪除服務關聯角色,必須聯絡管理員為該RAM使用者授予管理員權限(AliyunHBRFullAccess)或在自訂權限原則的Action
語句中為RAM使用者添加以下許可權:
建立服務關聯角色:
ram:CreateServiceLinkedRole
刪除服務關聯角色:
ram:DeleteServiceLinkedRole
關於授權的詳細操作,請參見建立和刪除服務關聯角色所需的許可權。
查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面,查看該服務關聯角色的以下資訊:
基本資料
在服務關聯角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在服務關聯角色詳情頁面的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容以及該角色可授權訪問哪些雲資源。
信任策略
在服務關聯角色詳情頁的信任策略管理頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service
欄位查看。
關於如何查看服務關聯角色的詳細操作,請參見查看RAM角色。
刪除服務關聯角色
假設您已不再使用ECS備份功能,出於安全考慮,建議您刪除該功能所使用的服務關聯角色。
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
刪除AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup和AliyunServiceRoleForHbrCsgBackup等角色前,請確保當前帳號下沒有備份倉庫,否則刪除失敗。
刪除AliyunServiceRoleForHbrVaultEncryption前,請確保當前帳號下沒有使用KMS加密的備份倉庫,否則刪除失敗。
刪除AliyunServiceRoleForHbrMagpieBridge前,請確保當前帳號下已卸載ECS檔案備份用戶端和本地檔案用戶端,否則刪除失敗。
例如,刪除AliyunServiceRoleForHbrEcsBackup的操作步驟如下:
登入RAM控制台。
在左側導覽列中選擇身份管理>角色。
在角色管理頁面的搜尋方塊中,輸入AliyunServiceRoleForHbrEcsBackup,自動搜尋到名稱為AliyunServiceRoleForHbrEcsBackup的RAM角色。
在右側操作列,單擊刪除角色。
在刪除角色對話方塊,再次輸入角色名稱,然後單擊刪除角色。
具體操作,請參見刪除RAM角色。
刪除AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup和AliyunServiceRoleForHbrCsgBackup、AliyunServiceRoleForHbrVaultEncryption、AliyunServiceRoleForHbrEcsEncryption、AliyunServiceRoleForHbrMagpieBridge等服務關聯角色與刪除AliyunServiceRoleForHbrEcsBackup服務關聯角色步驟類似,僅需替換為對應的RAM角色即可。