本文介紹什麼是Cloud Storage Gateway服務關聯角色,Cloud Storage Gateway將自動建立服務關聯角色擷取訪問Elastic Compute Service、Virtual Private Cloud等雲端服務的許可權。
背景資訊
服務關聯角色是一種可信實體為阿里雲服務的RAM角色。Cloud Storage Gateway使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。
通常情況下,服務關聯角色是在您執行某項操作時,由系統自動建立。在自動建立服務關聯角色失敗或Cloud Storage Gateway不支援自動建立時,您需要手動建立服務關聯角色。
阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則,該策略不支援修改。如果您想瞭解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。
關於服務關聯角色的更多資訊,請參見服務關聯角色。
應用情境
Cloud Storage Gateway會在以下情境中,為您自動建立服務關聯角色:
AliyunServiceRoleForHCSSGW
在首次訪問Cloud Storage Gateway控制台並同意服務關聯角色授權時,Cloud Storage Gateway會自動建立服務關聯角色AliyunServiceRoleForHCSSGW,支援Cloud Storage Gateway訪問ECS、VPC、OSS、MNS、KMS資源。
AliyunServiceRoleForHCSSGWLogMonitor
在Cloud Storage Gateway控制台,首次使用日誌監控功能並同意相關服務關聯角色授權時,Cloud Storage Gateway會自動建立服務關聯角色AliyunServiceRoleForHCSSGWLogMonitor,支援Cloud Storage Gateway訪問SLS資源。
許可權說明
AliyunServiceRoleForHCSSGW
RAM使用者需具有AliyunHCSSGWFullAccess許可權才能建立AliyunServiceRoleForHCSSGW。
AliyunServiceRoleForHCSSGW具備以下雲端服務的存取權限:
ECS彈性網卡及安全性群組相關許可權
Cloud Storage Gateway服務需使用彈性網卡(以及相關安全性群組)來提供掛載協議。
{ "Action": [ "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission", "ecs:CreateSecurityGroup", "ecs:DescribeSecurityGroups", "ecs:AuthorizeSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:JoinSecurityGroup" ], "Resource": "*", "Effect": "Allow" }Virtual Private Cloud的存取權限
Cloud Storage Gateway服務需使用以下許可權來訪問您的VPC相關資源。
{ "Action": [ "vpc:DescribeVpcs", "vpc:DescribeVSwitches" ], "Resource": "*", "Effect": "Allow" }Object Storage Service的存取權限
Cloud Storage Gateway服務需要使用以下許可權對您的資料進行OSS上傳,下載及管理。
{ "Action": [ "oss:ListBuckets", "oss:ListObjects", "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:HeadObject", "oss:CopyObject", "oss:InitiateMultipartUpload", "oss:UploadPart", "oss:UploadPartCopy", "oss:CompleteMultipartUpload", "oss:AbortMultipartUpload", "oss:ListMultipartUploads", "oss:ListParts", "oss:GetBucketStat", "oss:GetBucketWebsite", "oss:GetBucketInfo", "oss:GetBucketEncryption", "oss:PutBucketEncryption", "oss:DeleteBucketEncryption", "oss:RestoreObject", "oss:PutObjectTagging", "oss:GetObjectTagging", "oss:DeleteObjectTagging" ], "Resource": "*", "Effect": "Allow" }密鑰管理KMS的許可權
Cloud Storage Gateway服務需要使用以下許可權對您的資料進行服務端加密(OSS端加密)。
{ "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow" }訊息MNS的許可權
Cloud Storage Gateway服務需要使用以下許可權來完成網關極速同步功能的相關配置。
{ "Action": [ "mns:SendMessage", "mns:ReceiveMessage", "mns:PublishMessage", "mns:DeleteMessage", "mns:GetQueueAttributes", "mns:GetTopicAttributes", "mns:CreateTopic", "mns:DeleteTopic", "mns:CreateQueue", "mns:DeleteQueue", "mns:PutEventNotifications", "mns:DeleteEventNotifications", "mns:UpdateEventNotifications", "mns:GetEvent", "mns:Subscribe", "mns:Unsubscribe", "mns:ListTopic", "mns:ListQueue", "mns:ListSubscriptionByTopic" ], "Resource": "*", "Effect": "Allow" }BSS(交易和賬單管理)的許可權
Cloud Storage Gateway服務需要使用以下許可權來擷取展示網關相關價格資訊。
{ "Action": [ "bss:DescribePrice" ], "Resource": "*", "Effect": "Allow" }
AliyunServiceRoleForHCSSGWLogMonitor
RAM使用者需具有AliyunHCSSGWFullAccess許可權才能建立AliyunServiceRoleForHCSSGWLogMonitor。
AliyunServiceRoleForHCSSGWLogMonitor具備以下雲端服務的存取權限:
日誌SLS的許可權
網關服務需要使用以下許可權來完成網關日誌監控功能的相關配置。
{ "Action": [ "log:PostLogStoreLogs", "log:GetLogStore" ], "Resource": "*", "Effect": "Allow" }
RAM使用者使用服務關聯角色需要的許可權
如果使用RAM使用者建立或刪除服務關聯角色,必須聯絡管理員為該RAM使用者授予管理員權限(AliyunHCSSGWFullAccess)或在自訂權限原則的Action語句中為RAM使用者添加以下許可權:
建立服務關聯角色:
ram:CreateServiceLinkedRole刪除服務關聯角色:
ram:DeleteServiceLinkedRole
關於授權的詳細操作,請參見建立和刪除服務關聯角色所需的許可權。
查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面,通過搜尋服務關聯角色名稱(例如,AliyunServiceRoleForHCSSGW)查看該服務關聯角色的以下資訊:
基本資料
在AliyunServiceRoleForHCSSGW角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在AliyunServiceRoleForHCSSGW角色詳情頁面的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容以及該角色可授權訪問哪些雲資源。
信任策略
在AliyunServiceRoleForHCSSGW角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
關於如何查看服務關聯角色的詳細操作,請參見查看RAM角色。
刪除服務關聯角色
如果您暫時不需要使用Cloud Storage Gateway服務,可以刪除Cloud Storage Gateway服務關聯角色。刪除時,請先刪除該角色關聯的所有網關執行個體。具體操作,請參見刪除服務關聯角色。
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
常見問題
為什麼我的RAM使用者無法自動建立CSG服務關聯角色?
只有擁有指定許可權的RAM使用者,才能自動建立或刪除Cloud Storage Gateway服務關聯角色。當RAM使用者無法自動建立Cloud Storage Gateway服務關聯角色時,需要為RAM使用者添加以下權限原則。使用時請將主帳號ID替換為實際的阿里雲帳號(主帳號)ID。具體操作,請參見建立自訂權限原則。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:主帳號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"hcs-sgw.aliyuncs.com ",
"logmonitor.hcs-sgw.aliyuncs.com",
]
}
}
}
],
"Version": "1"
}