全部產品
Search
文件中心

Global Accelerator:AliyunServiceRoleForGaSsl

更新時間:Jun 30, 2024

如果您的阿里雲帳號(主帳號)不存在服務關聯角色AliyunServiceRoleForGaSsl,您在為Global Accelerator執行個體配置HTTPS協議的監聽時,系統會自動建立服務關聯角色AliyunServiceRoleForGaSsl。

AliyunServiceRoleForGaSsl簡介

AliyunServiceRoleForGaSsl是Global Accelerator的一種服務關聯角色SLR(Service Linked Role),在為Global Accelerator執行個體配置HTTPS協議的監聽時,Global Accelerator需要擁有該服務關聯角色才能為HTTPS協議監聽綁定SSL認證。

說明

服務關聯角色是指與某個雲端服務關聯的存取控制(RAM)角色。在某些情境下,為了完成雲端服務的某個功能,需要擷取訪問其他雲端服務的許可權。通過服務關聯角色,您可以更好地建立雲端服務正常操作所需的許可權,避免誤操作帶來的風險。更多關於服務關聯角色的資訊,請參見服務關聯角色

建立服務關聯角色AliyunServiceRoleForGaSsl所需的許可權

阿里雲帳號(主帳號)預設擁有建立服務關聯角色AliyunServiceRoleForGaSsl的許可權,RAM使用者(子帳號)必須擁有以下許可權,才可以建立服務關聯角色AliyunServiceRoleForGaSsl:

{
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ssl.ga.aliyuncs.com"
        }
      }
}

您可以通過以下兩種方式為RAM使用者(子帳號)授予建立AliyunServiceRoleForGaSsl所需的許可權:

  • 為RAM使用者(子帳號)添加管理員權限策略AliyunGlobalAccelerationFullAccess。詳細資料,請參見為RAM角色授權

    說明

    建立Global Acceleration服務關聯角色AliyunServiceRoleForGaSsl的許可權通常包含在管理員權限策略AliyunGlobalAccelerationFullAccess中,因此只要擁有Global Acceleration的管理員權限,就可以為Global Acceleration建立服務關聯角色AliyunServiceRoleForGaSsl。

  • 添加自訂權限原則,並為RAM使用者(子帳號)授權。自訂權限原則包含以下許可權:

    {
          "Action": "ram:CreateServiceLinkedRole",
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "ssl.ga.aliyuncs.com"
            }
          }
    }

具體操作,請參見建立自訂權限原則為RAM角色授權

建立服務關聯角色AliyunServiceRoleForGaSsl

您在為Global Accelerator執行個體配置HTTPS協議的監聽時,系統會判斷Global Accelerator是否擁有服務關聯角色AliyunServiceRoleForGaSsl:

  • 如果Global Accelerator不存在服務關聯角色AliyunServiceRoleForGaSsl,系統會自動建立該服務關聯角色,並為該服務關聯角色添加名稱為AliyunServiceRoleForGaSsl的權限原則,授予Global Accelerator擁有訪問SSL認證的許可權,策略內容如下:

    {
    	"Version": "1",
    	"Statement": [{
    			"Effect": "Allow",
    			"Action": [
    				"yundun-cert:GetUserCertificateDetail"
    			],
    			"Resource": "*"
    		},
    		{
    			"Action": "ram:DeleteServiceLinkedRole",
    			"Resource": "*",
    			"Effect": "Allow",
    			"Condition": {
    				"StringEquals": {
    					"ram:ServiceName": "ssl.ga.aliyuncs.com"
    				}
    			}
    		}
    	]
    }
  • 如果Global Accelerator已經擁有服務關聯角色AliyunServiceRoleForGaSsl,則不會重複建立該服務關聯角色。

刪除服務關聯角色AliyunServiceRoleForGaSsl

系統不會自動刪除Global Accelerator的服務關聯角色AliyunServiceRoleForGaSsl,如果您要刪除該服務關聯角色,請先刪除Global Accelerator執行個體的HTTPS協議監聽,然後再刪除服務關聯角色AliyunServiceRoleForGaSsl。具體操作,請參見: