本文為您介紹Global Acceleration服務關聯角色AliyunServiceRoleForGaFlowlog的應用情境,以及如何建立刪除服務關聯角色。
AliyunServiceRoleForGaFlowlog簡介
AliyunServiceRoleForGaFlowlog是Global Acceleration的一種服務關聯角色SLR(Service Linked Role)。擁有該角色後,阿里雲Global Acceleration服務可以訪問您的Log Service(SLS),將流日誌投遞到您的SLS。
說明 服務關聯角色是指與某個雲端服務關聯的存取控制(RAM)角色。在某些情境下,為了完成雲端服務的某個功能,需要擷取訪問其他雲端服務的許可權。通過服務關聯角色,您可以更好地建立雲端服務正常操作所需的許可權,避免誤操作帶來的風險。更多資訊,請參見服務關聯角色。
建立服務關聯角色AliyunServiceRoleForGaFlowlog所需的許可權
阿里雲帳號預設擁有建立服務關聯角色AliyunServiceRoleForGaFlowlog的許可權,RAM使用者必須擁有以下許可權,才可以進行建立:
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "flowlog.ga.aliyuncs.com"
}
}
}您可以通過以下兩種方式為RAM使用者授予建立AliyunServiceRoleForGaFlowlog所需的許可權:
- 為RAM使用者添加管理員權限策略AliyunGlobalAccelerationFullAccess。具體操作,請參見為RAM角色授權。說明 建立Global Acceleration服務關聯角色的許可權通常包含在管理員權限策略AliyunGlobalAccelerationFullAccess中,因此只要擁有Global Acceleration的管理員權限,就可以為Global Acceleration建立服務關聯角色。
- 添加自訂權限原則,並為RAM使用者授權。自訂權限原則包含以下許可權:
{ "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "flowlog.ga.aliyuncs.com" } } }
建立服務關聯角色AliyunServiceRoleForGaFlowlog
為Global Acceleration執行個體開啟流日誌的投遞功能,系統會自動建立服務關聯角色AliyunServiceRoleForGaFlowlog,並為該服務關聯角色添加名稱為AliyunServiceRolePolicyForGaFlowlog的權限原則,授予Global Acceleration擁有訪問使用者流日誌的許可權,策略內容如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"log:PostLogStoreLogs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "flowlog.ga.aliyuncs.com"
}
}
}
]
}刪除服務關聯角色AliyunServiceRoleForGaFlowlog
系統不會自動刪除Global Acceleration的服務關聯角色AliyunServiceRoleForGaFlowlog,如果您要刪除該服務關聯角色,請先刪除所有Global Acceleration執行個體,然後再刪除服務關聯角色AliyunServiceRolePolicyForGaFlowlog。具體操作,請參見刪除服務關聯角色。