全部產品
Search

搜尋本產品

    Global Accelerator:AliyunServiceRoleForGaSsl

    文件中心

    Global Accelerator:AliyunServiceRoleForGaSsl

    更新時間:Jun 30, 2024

    如果您的阿里雲帳號(主帳號)不存在服務關聯角色AliyunServiceRoleForGaSsl,您在為Global Accelerator執行個體配置HTTPS協議的監聽時,系統會自動建立服務關聯角色AliyunServiceRoleForGaSsl。

    AliyunServiceRoleForGaSsl簡介

    AliyunServiceRoleForGaSsl是Global Accelerator的一種服務關聯角色SLR(Service Linked Role),在為Global Accelerator執行個體配置HTTPS協議的監聽時,Global Accelerator需要擁有該服務關聯角色才能為HTTPS協議監聽綁定SSL認證。

    說明

    服務關聯角色是指與某個雲端服務關聯的存取控制(RAM)角色。在某些情境下,為了完成雲端服務的某個功能,需要擷取訪問其他雲端服務的許可權。通過服務關聯角色,您可以更好地建立雲端服務正常操作所需的許可權,避免誤操作帶來的風險。更多關於服務關聯角色的資訊,請參見服務關聯角色

    建立服務關聯角色AliyunServiceRoleForGaSsl所需的許可權

    阿里雲帳號(主帳號)預設擁有建立服務關聯角色AliyunServiceRoleForGaSsl的許可權,RAM使用者(子帳號)必須擁有以下許可權,才可以建立服務關聯角色AliyunServiceRoleForGaSsl:

    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ssl.ga.aliyuncs.com"
        }
      }
}

    您可以通過以下兩種方式為RAM使用者(子帳號)授予建立AliyunServiceRoleForGaSsl所需的許可權:

    • 為RAM使用者(子帳號)添加管理員權限策略AliyunGlobalAccelerationFullAccess。詳細資料,請參見為RAM角色授權

      說明

      建立Global Acceleration服務關聯角色AliyunServiceRoleForGaSsl的許可權通常包含在管理員權限策略AliyunGlobalAccelerationFullAccess中,因此只要擁有Global Acceleration的管理員權限,就可以為Global Acceleration建立服務關聯角色AliyunServiceRoleForGaSsl。

    • 添加自訂權限原則,並為RAM使用者(子帳號)授權。自訂權限原則包含以下許可權:

      {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ssl.ga.aliyuncs.com"
        }
      }
}

    具體操作,請參見建立自訂權限原則為RAM角色授權

    建立服務關聯角色AliyunServiceRoleForGaSsl

    您在為Global Accelerator執行個體配置HTTPS協議的監聽時,系統會判斷Global Accelerator是否擁有服務關聯角色AliyunServiceRoleForGaSsl:

    • 如果Global Accelerator不存在服務關聯角色AliyunServiceRoleForGaSsl,系統會自動建立該服務關聯角色,並為該服務關聯角色添加名稱為AliyunServiceRoleForGaSsl的權限原則,授予Global Accelerator擁有訪問SSL認證的許可權,策略內容如下:

      {
	"Version": "1",
	"Statement": [{
			"Effect": "Allow",
			"Action": [
				"yundun-cert:GetUserCertificateDetail"
			],
			"Resource": "*"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "ssl.ga.aliyuncs.com"
				}
			}
		}
	]
}

    • 如果Global Accelerator已經擁有服務關聯角色AliyunServiceRoleForGaSsl,則不會重複建立該服務關聯角色。

    刪除服務關聯角色AliyunServiceRoleForGaSsl

    系統不會自動刪除Global Accelerator的服務關聯角色AliyunServiceRoleForGaSsl,如果您要刪除該服務關聯角色,請先刪除Global Accelerator執行個體的HTTPS協議監聽,然後再刪除服務關聯角色AliyunServiceRoleForGaSsl。具體操作,請參見: