全部產品
Search
文件中心

Cloud Backup:服務關聯角色

更新時間:Oct 25, 2024

Cloud Backup使用服務關聯角色擷取Elastic Compute Service、Virtual Private Cloud、Object Storage Service、Apsara File Storage NAS等資源的存取權限。通常情況下,服務關聯角色是在您開啟某項備份功能、建立備份計劃或者為資料來源關聯備份策略時時,由Cloud Backup自動建立。在自動建立服務關聯角色失敗或Cloud Backup不支援自動建立時,您需要手動建立服務關聯角色。

背景資訊

服務關聯角色是一種可信實體為阿里雲服務的RAM角色。雲備份使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。

通常情況下,服務關聯角色是在您執行某項操作時,由系統自動建立。在自動建立服務關聯角色失敗或雲備份不支援自動建立時,您需要手動建立服務關聯角色。

阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則,該策略不支援修改。如果您想瞭解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。詳情請參見雲備份系統權限原則參考

應用情境

Cloud Backup會在以下情境中,為您自動建立服務關聯角色。

重要

在您開啟某項備份功能、建立備份計劃或為資料來源綁定備份策略時,自動為您建立服務關聯角色。

  • AliyunServiceRoleForHbrEcsBackup

    在您使用ECS備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrEcsBackup擷取訪問Elastic Compute Service和Virtual Private Cloud的資源許可權。通過該服務關聯角色,ECS備份功能可以獲得Elastic Compute Service和Virtual Private Cloud等存取權限。

  • AliyunServiceRoleForHbrOssBackup

    在您使用OSS備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrOssBackup擷取訪問Object Storage Service雲端服務的資源許可權。通過該服務關聯角色,OSS備份功能可以獲得Object Storage Service的存取權限。

  • AliyunServiceRoleForHbrNasBackup

    在您使用NAS備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrNasBackup擷取訪問Apsara File Storage NAS雲端服務的資源許可權。通過該服務關聯角色,NAS備份功能可以獲得Apsara File Storage NAS的存取權限。

  • AliyunServiceRoleForHbrCsgBackup

    在您使用Cloud Storage Gateway備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrCsgBackup擷取訪問Cloud Storage Gateway雲端服務的資源許可權。通過該服務關聯角色,CSG備份功能可以獲得Cloud Storage GatewayCSG的存取權限。

  • AliyunServiceRoleForHbrVaultEncryption

    在您使用KMS祕密金鑰加密備份庫功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrVaultEncryption擷取存取金鑰管理服務KMS雲端服務的資源許可權。通過該服務關聯角色,加密備份庫功能可以獲得Key Management Service的存取權限。

  • AliyunServiceRoleForHbrOtsBackup

    在您使用Table Store備份庫功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrOtsBackup擷取訪問Table Store雲端服務的資源許可權。通過該服務關聯角色,Table Store備份功能可以獲得Table Store的存取權限。

  • AliyunServiceRoleForHbrCrossAccountBackup

    在您使用跨帳號備份功能時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrCrossAccountBackup擷取訪問您在其他雲產品中的資源許可權。通過該服務關聯角色,跨帳號備份功能可以獲得您在其他雲產品中資源的存取權限。

  • AliyunServiceRoleForHbrEcsEncryption

    在您使用ECS整機備份功能開啟異地複寫需要指定異地加密的KMS密鑰時,Cloud Backup自動建立服務關聯角色AliyunServiceRoleForHbrEcsEncryption擷取訪問您在Key Management Service的資源許可權。通過該服務關聯角色,此功能可以獲得Key Management Service的存取權限。

  • AliyunServiceRoleForHbrMagpieBridge

    在您使用ECS檔案備份和本地檔案備份功能時,Cloud Backup將根據備份用戶端通訊方式自動建立服務關聯角色AliyunServiceRoleForHbrMagpieBridge擷取訪問您雲備份服務的資源許可權。通過該服務關聯角色,備份用戶端可以獲得雲備份服務的存取權限。

許可權說明

Cloud Backup服務關聯角色的許可權內容如下:

  • 通過AliyunServiceRoleForHbrEcsBackup擷取訪問ECS和VPC的許可權

     {
          "Action": [
            "ecs:RunCommand",
            "ecs:CreateCommand",
            "ecs:InvokeCommand",
            "ecs:DeleteCommand",
            "ecs:DescribeCommands",
            "ecs:StopInvocation",
            "ecs:DescribeInvocationResults",
            "ecs:DescribeCloudAssistantStatus",
            "ecs:DescribeInstances",
            "ecs:DescribeInstanceRamRole",
            "ecs:DescribeInvocations"
            "vpc:DescribeVpcs",
            "vpc:DescribeVSwitches"
          ],
          "Resource": "*",
          "Effect": "Allow"
        },
        {
          "Action": [
            "ecs:AttachInstanceRamRole",
            "ecs:DetachInstanceRamRole"
          ],
          "Resource": [
            "acs:ecs:*:*:instance/*",
            "acs:ram:*:*:role/aliyunecsaccessinghbrrole"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "ram:GetRole",
            "ram:GetPolicy",
            "ram:ListPoliciesForRole"
          ],
          "Resource": "*",
          "Effect": "Allow"
        },
        {
          "Action": [
            "ram:PassRole"
          ],
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "acs:Service": [
                "ecs.aliyuncs.com"
              ]
            }
          }
        },
        {
          "Action": [
            "ecs:DescribeSecurityGroups",
            "ecs:DescribeImages",
            "ecs:CreateImage",
            "ecs:DeleteImage",
            "ecs:DescribeSnapshots",
            "ecs:CreateSnapshot",
            "ecs:DeleteSnapshot",
            "ecs:DescribeSnapshotLinks",
            "ecs:DescribeAvailableResource",
            "ecs:ModifyInstanceAttribute",
            "ecs:CreateInstance",
            "ecs:DeleteInstance",
            "ecs:AllocatePublicIpAddress",
            "ecs:CreateDisk",
            "ecs:DescribeDisks",
            "ecs:AttachDisk",
            "ecs:DetachDisk",
            "ecs:DeleteDisk",
            "ecs:ResetDisk",
            "ecs:StartInstance",
            "ecs:StopInstance",
            "ecs:ReplaceSystemDisk",
            "ecs:ModifyResourceMeta"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
    

  • 通過AliyunServiceRoleForHbrOssBackup擷取訪問OSS的許可權

    {
          "Action": [
            "oss:ListObjects",
            "oss:HeadBucket",
            "oss:GetBucket",
            "oss:GetBucketAcl",
            "oss:GetBucketLocation",
            "oss:GetBucketInfo",
            "oss:PutObject",
            "oss:CopyObject",
            "oss:GetObject",
            "oss:AppendObject",
            "oss:GetObjectMeta",
            "oss:PutObjectACL",
            "oss:GetObjectACL",
            "oss:PutObjectTagging",
            "oss:GetObjectTagging",
            "oss:InitiateMultipartUpload",
            "oss:UploadPart",
            "oss:UploadPartCopy",
            "oss:CompleteMultipartUpload",
            "oss:AbortMultipartUpload",
            "oss:ListMultipartUploads",
            "oss:ListParts"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }

  • 通過AliyunServiceRoleForHbrNasBackup擷取訪問NAS的許可權

    {
          "Action": [
            "nas:DescribeFileSystems",
            "nas:CreateMountTargetSpecial",
            "nas:DeleteMountTargetSpecial",
            "nas:CreateMountTarget",
            "nas:DeleteMountTarget",
            "nas:DescribeMountTargets",
            "nas:DescribeAccessGroups"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }

  • 通過AliyunServiceRoleForHbrCsgBackup擷取訪問CSG的許可權

    {
          "Action": [
            "hcs-sgw:DescribeGateways"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
  • 通過AliyunServiceRoleForHbrVaultEncryption擷取訪問KMS的許可權(加密備份庫)

    {
     "Statement": [
     {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
       "StringEquals": {
        "ram:ServiceName": "vaultencryption.hbr.aliyuncs.com"
       }
      }
     },
     {
      "Action": [
      "kms:Decrypt"
      ],
      "Resource": "*",
      "Effect": "Allow"
     }
     ],
     "Version": "1"
    
    }

  • 通過AliyunServiceRoleForHbrOtsBackup擷取訪問Table Store的許可權

    {
      "Version": "1",
      "Statement": [
        {
          "Action": "ram:DeleteServiceLinkedRole",
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "otsbackup.hbr.aliyuncs.com"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "ots:ListTable",
            "ots:CreateTable",
            "ots:UpdateTable",
            "ots:DescribeTable",
            "ots:BatchWriteRow",
            "ots:CreateTunnel",
            "ots:DeleteTunnel",
            "ots:ListTunnel",
            "ots:DescribeTunnel",
            "ots:ConsumeTunnel",
            "ots:GetRange",
            "ots:ListStream",
            "ots:DescribeStream"
          ],
          "Resource": "*"
        }
      ]
    }
  • 通過AliyunServiceRoleForHbrCrossAccountBackup擷取跨帳號備份許可權

    {
      "Version": "1",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Effect": "Allow",
          "Resource": "*"
        },
        {
          "Action": "ram:DeleteServiceLinkedRole",
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "crossbackup.hbr.aliyuncs.com"
            }
          }
        }
      ]
    }
  • 通過AliyunServiceRoleForHbrEcsEncryption擷取訪問KMS許可權(開啟異地複寫)

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "kms:ListKeys",
            "kms:ListAliases"
          ],
          "Effect": "Allow",
          "Resource": "*"
        },
        {
          "Action": "ram:DeleteServiceLinkedRole",
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "ecsencryption.hbr.aliyuncs.com"
            }
          }
        }
      ]
    }
  • 通過AliyunServiceRoleForHbrMagpieBridge擷取訪問雲備份服務的許可權(雲備份用戶端)

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "hbr:ClientSendMessage",
            "hbr:ClientReceiveMessage"
          ],
          "Resource": "acs:hbr:*:*:messageClient/*",
          "Effect": "Allow"
        },
        {
          "Action": "ram:DeleteServiceLinkedRole",
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "magpiebridge.hbr.aliyuncs.com"
            }
          }
        }
      ]
    }

RAM使用者使用服務關聯角色需要的許可權

如果使用RAM使用者建立或刪除服務關聯角色,必須聯絡管理員為該RAM使用者授予管理員權限(AliyunHBRFullAccess)或在自訂權限原則的Action語句中為RAM使用者添加以下許可權:

  • 建立服務關聯角色:ram:CreateServiceLinkedRole

  • 刪除服務關聯角色:ram:DeleteServiceLinkedRole

關於授權的詳細操作,請參見建立和刪除服務關聯角色所需的許可權

查看服務關聯角色

當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面,查看該服務關聯角色的以下資訊:

  • 基本資料

    在服務關聯角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。

  • 權限原則

    在服務關聯角色詳情頁面的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容以及該角色可授權訪問哪些雲資源。

  • 信任策略

    在服務關聯角色詳情頁的信任策略管理頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的Service欄位查看。

關於如何查看服務關聯角色的詳細操作,請參見查看RAM角色

刪除服務關聯角色

假設您已不再使用ECS備份功能,出於安全考慮,建議您刪除該功能所使用的服務關聯角色。

重要
  • 刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。

  • 刪除AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup和AliyunServiceRoleForHbrCsgBackup等角色前,請確保當前帳號下沒有備份倉庫,否則刪除失敗。

  • 刪除AliyunServiceRoleForHbrVaultEncryption前,請確保當前帳號下沒有使用KMS加密的備份倉庫,否則刪除失敗。

  • 刪除AliyunServiceRoleForHbrMagpieBridge前,請確保當前帳號下已卸載ECS檔案備份用戶端和本地檔案用戶端,否則刪除失敗。

例如,刪除AliyunServiceRoleForHbrEcsBackup的操作步驟如下:

  1. 登入RAM控制台

  2. 在左側導覽列中選擇身份管理>角色。

  3. 角色管理頁面的搜尋方塊中,輸入AliyunServiceRoleForHbrEcsBackup,自動搜尋到名稱為AliyunServiceRoleForHbrEcsBackup的RAM角色。

  4. 在右側操作列,單擊刪除角色

  5. 刪除角色對話方塊,再次輸入角色名稱,然後單擊刪除角色

具體操作,請參見刪除RAM角色

刪除AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup和AliyunServiceRoleForHbrCsgBackup、AliyunServiceRoleForHbrVaultEncryption、AliyunServiceRoleForHbrEcsEncryption、AliyunServiceRoleForHbrMagpieBridge等服務關聯角色與刪除AliyunServiceRoleForHbrEcsBackup服務關聯角色步驟類似,僅需替換為對應的RAM角色即可。