本文由簡體中文內容自動轉碼而成。阿里雲不保證此自動轉碼的準確性、完整性及時效性。本文内容請以簡體中文版本為準。
首頁Compute Nest安全合規使用RAM進行存取控制計算巢服務關聯角色
搜尋幫助內容

計算巢服務關聯角色

更新時間:2025-03-12 19:57
社區

本文為您介紹計算巢服務關聯角色AliyunServiceRoleForComputeNestSupplier、AliyunServiceRoleForComputeNestUser和AliyunServiceRoleForComputeNestDingTalk的應用情境以及如何刪除服務關聯角色。

背景資訊

計算巢服務關聯角色AliyunServiceRoleForComputeNestSupplier是計算巢服務商側為了完成某個服務建立時,需要擷取其他雲端服務的存取權限而提供的RAM角色。更多關於服務關聯角色的資訊請參見 服務關聯角色

計算巢服務關聯角色AliyunServiceRoleForComputeNestUser是計算巢使用者側為了完成某個服務執行個體建立時,需要擷取其他雲端服務的存取權限而提供的RAM角色。更多關於服務關聯角色的資訊請參見 服務關聯角色

計算巢服務關聯角色AliyunServiceRoleForComputeNestDingTalk是計算巢服務為了訪問計算巢DingTalk應用下的雲產品資源時,需要擷取其他雲端服務的存取權限而提供的RAM角色。更多關於服務關聯角色的資訊請參見 服務關聯角色

應用情境

在計算巢控制台服務商側建立服務或使用者側建立服務執行個體時,計算巢會自動建立服務關聯角色AliyunServiceRoleForComputeNestSupplier或AliyunServiceRoleForComputeNestUser以擷取私網串連、雲解析、CloudMonitor、標籤、存取控制等服務的存取權限。

在計算巢服務訪問DingTalk應用下的雲產品資源時,計算巢會自動建立服務關聯角色AliyunServiceRoleForComputeNestDingTalk以擷取雲端服務器,雲資料庫,專用網路,營運編排等服務的存取權限。

AliyunServiceRoleForComputeNestSupplier

服務商側建立計算巢服務時,如果角色不存在,計算巢服務會自動建立一個名稱為AliyunServiceRoleForComputeNestSupplier的服務關聯角色,該角色被授權的權限原則為AliyunServiceRolePolicyForComputeNestSupplier,計算巢服務通過扮演該角色即可成功調用OpenAPI完成服務建立。

許可權說明:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "PrivateLink:UpdateVpcEndpointServiceAttribute",
        "PrivateLink:GetVpcEndpointServiceAttribute",
        "PrivateLink:ListVpcEndpointServices",
        "PrivateLink:AddUserToVpcEndpointService",
        "PrivateLink:ListVpcEndpointServiceUsers",
        "PrivateLink:RemoveUserFromVpcEndpointService"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "supplier.computenest.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForComputeNestUser

使用者側建立計算巢服務執行個體時,如果角色不存在,計算巢會自動建立一個名稱為AliyunServiceRoleForComputeNestUser的服務關聯角色,該角色被授權的權限原則為AliyunServiceRolePolicyForComputeNestUser,計算巢服務通過扮演該角色即可成功調用OpenAPI完成服務執行個體建立。

許可權說明:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "PrivateLink:CreateVpcEndpoint",
        "PrivateLink:UpdateVpcEndpointAttribute",
        "PrivateLink:GetVpcEndpointAttribute",
        "PrivateLink:ListVpcEndpoints",
        "PrivateLink:ListVpcEndpointServicesByEndUser",
        "PrivateLink:DeleteVpcEndpoint",
        "PrivateLink:EnableVpcEndpointConnection",
        "PrivateLink:UpdateVpcEndpointConnectionAttribute",
        "PrivateLink:ListVpcEndpointConnections",
        "PrivateLink:DisableVpcEndpointConnection",
        "PrivateLink:RemoveZoneFromVpcEndpoint",
        "pvtz:DescribeZones",
        "pvtz:AddZone",
        "pvtz:BindZoneVpc",
        "pvtz:AddZoneRecord",
        "pvtz:DeleteZoneRecord",
        "pvtz:DeleteZone",
        "ros:ListStackResources",
        "tag:ListTagResources",
        "cms:CreateDynamicTagGroup",
        "cms:DescribeDynamicTagRuleList",
        "cms:DescribeMonitorGroups",
        "cms:DeleteDynamicTagGroup"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    },
    {
      "Action": [
        "ram:CreateRole",
        "ram:DeleteRole",
        "ram:AttachPolicyToRole",
        "ram:DetachPolicyFromRole",
        
      ],
      "Resource": [
        "acs:ram:*:*:role/aliyuncomputenestsupplierrolefor*",
        "acs:ram:*:system:policy/AliyunComputeNestPolicyForSupplierRole"
      ],
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "user.computenest.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForComputeNestDingTalk

計算巢服務訪問DingTalk應用下的雲產品資源時,如果角色不存在,計算巢會自動建立一個名稱為AliyunServiceRoleForComputeNestDingTalk的服務關聯角色,該角色被授權的權限原則為AliyunServiceRoleForComputeNestDingTalk,計算巢服務通過扮演該角色即可管理應用管理中的資源,以完成計算巢的相關功能。

許可權說明:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeInstances",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeDisks",
        "ecs:DescribeImages",
        "ecs:DescribeVpcs",
        "ecs:DescribeVSwitches",
        "vpc:DescribeVpcs",
        "vpc:DescribeEipAddresses",
        "rds:DescribeDBInstances",
        "rds:DescribeDBInstanceAttribute",
        "slb:DescribeLoadBalancers",
        "slb:DescribeLoadBalancerAttribute",
        "oos:CreateApplication",
        "oos:DeleteApplication",
        "oos:ListApplications",
        "oos:ListApplicationGroups",
        "oos:GetApplication",
        "oos:UpdateApplication",
        "oos:CreateApplicationGroup",
        "tag:TagResources",
        "tag:ListTagResources",
        "yundun-sddp:DescribeDataLimits",
        "yundun-sddp:DescribeDataLimitDetail",
        "yundun-sddp:DescribeRules",
        "yundun-sddp:DescribeInstances",
        "yundun-sddp:DescribeEvents",
        "yundun-sddp:DescribeDataAssets",
        "yundun-sddp:DescribeCategoryTemplateRuleList",
        "yundun-sas:DescribeCloudCenterInstances"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "applicationmanager.oos.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "dingtalk.computenest.aliyuncs.com"
        }
      }
    }
  ]
}

刪除服務關聯角色

如果您需要刪除服務關聯角色AliyunServiceRoleForComputeNestSupplier,需要刪除服務商帳號下的所有服務。而刪除AliyunServiceRoleForComputeNestUser時,需先刪除使用者帳號下的所有服務執行個體。

以下為刪除AliyunServiceRoleForComputeNestUser角色的樣本:

  1. 登入RAM控制台

  2. 在左側導覽列中,選擇身份管理 > 角色,在角色介面的搜尋方塊中,輸入AliyunServiceRoleForComputeNestUser,自動搜尋到名稱為AliyunServiceRoleForComputeNestUser的RAM角色。

  3. 在右側操作列,單擊刪除角色

  4. 在刪除RAM角色對話方塊中,單擊刪除角色

刪除服務關聯角色具體操作請參考 服務關聯角色

常見問題

1. 為什麼我的RAM使用者無法自動建立計算巢服務商側服務關聯角色AliyunServiceRoleForComputeNestSupplier?

您需要擁有指定的許可權,才能自動建立AliyunServiceRoleForComputeNestSupplier。因此,在RAM使用者無法自動建立AliyunServiceRoleForComputeNestSupplier時,您需為其添加以下權限原則。

{
  "Statement": [
    {
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "acs:主帳號ID:role/*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": [
            "supplier.computenest.aliyuncs.com"
          ]
        }
      }
    }
  ],
  "Version": "1"
}

2. 為什麼我的RAM使用者無法自動建立計算巢使用者側服務關聯角色AliyunServiceRoleForComputeNestUser?

您需要擁有指定的許可權,才能自動建立AliyunServiceRoleForComputeNestUser。因此,在RAM使用者無法自動建立AliyunServiceRoleForComputeNestUser時,您需為其添加以下權限原則。

{
  "Statement": [
    {
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "acs:主帳號ID:role/*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": [
            "user.computenest.aliyuncs.com"
          ]
        }
      }
    }
  ],
  "Version": "1"
}

3.為什麼我的RAM使用者無法自動建立計算巢使用者側服務關聯角色AliyunServiceRoleForComputeNestDingTalk?

您需要擁有指定的許可權,才能自動建立AliyunServiceRoleForComputeNestDingTalk。因此,在RAM使用者無法自動建立AliyunServiceRoleForComputeNestDingTalk時,您需為其添加以下權限原則。

{
  "Statement": [
    {
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "acs:主帳號ID:role/*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": [
            "user.computenest.aliyuncs.com"
          ]
        }
      }
    }
  ],
  "Version": "1"
}
上一篇:為使用者側RAM使用者(子帳號)授權下一篇:建立授信計算巢服務的角色
  • 本頁導讀 (1, M)
  • 背景資訊
  • 應用情境
  • AliyunServiceRoleForComputeNestSupplier
  • AliyunServiceRoleForComputeNestUser
  • AliyunServiceRoleForComputeNestDingTalk
  • 刪除服務關聯角色
  • 常見問題
文檔反饋