如果您的阿里雲帳號(主帳號)不存在服務關聯角色AliyunServiceRoleForGaSsl,您在為Global Accelerator執行個體配置HTTPS協議的監聽時,系統會自動建立服務關聯角色AliyunServiceRoleForGaSsl。
AliyunServiceRoleForGaSsl簡介
AliyunServiceRoleForGaSsl是Global Accelerator的一種服務關聯角色SLR(Service Linked Role),在為Global Accelerator執行個體配置HTTPS協議的監聽時,Global Accelerator需要擁有該服務關聯角色才能為HTTPS協議監聽綁定SSL認證。
服務關聯角色是指與某個雲端服務關聯的存取控制(RAM)角色。在某些情境下,為了完成雲端服務的某個功能,需要擷取訪問其他雲端服務的許可權。通過服務關聯角色,您可以更好地建立雲端服務正常操作所需的許可權,避免誤操作帶來的風險。更多關於服務關聯角色的資訊,請參見服務關聯角色。
建立服務關聯角色AliyunServiceRoleForGaSsl所需的許可權
阿里雲帳號(主帳號)預設擁有建立服務關聯角色AliyunServiceRoleForGaSsl的許可權,RAM使用者(子帳號)必須擁有以下許可權,才可以建立服務關聯角色AliyunServiceRoleForGaSsl:
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ssl.ga.aliyuncs.com"
}
}
}
您可以通過以下兩種方式為RAM使用者(子帳號)授予建立AliyunServiceRoleForGaSsl所需的許可權:
為RAM使用者(子帳號)添加管理員權限策略AliyunGlobalAccelerationFullAccess。詳細資料,請參見為RAM角色授權。
說明建立Global Acceleration服務關聯角色AliyunServiceRoleForGaSsl的許可權通常包含在管理員權限策略AliyunGlobalAccelerationFullAccess中,因此只要擁有Global Acceleration的管理員權限,就可以為Global Acceleration建立服務關聯角色AliyunServiceRoleForGaSsl。
添加自訂權限原則,並為RAM使用者(子帳號)授權。自訂權限原則包含以下許可權:
{ "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "ssl.ga.aliyuncs.com" } } }
建立服務關聯角色AliyunServiceRoleForGaSsl
您在為Global Accelerator執行個體配置HTTPS協議的監聽時,系統會判斷Global Accelerator是否擁有服務關聯角色AliyunServiceRoleForGaSsl:
如果Global Accelerator不存在服務關聯角色AliyunServiceRoleForGaSsl,系統會自動建立該服務關聯角色,並為該服務關聯角色添加名稱為AliyunServiceRoleForGaSsl的權限原則,授予Global Accelerator擁有訪問SSL認證的許可權,策略內容如下:
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "yundun-cert:GetUserCertificateDetail" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "ssl.ga.aliyuncs.com" } } } ] }
如果Global Accelerator已經擁有服務關聯角色AliyunServiceRoleForGaSsl,則不會重複建立該服務關聯角色。
刪除服務關聯角色AliyunServiceRoleForGaSsl
系統不會自動刪除Global Accelerator的服務關聯角色AliyunServiceRoleForGaSsl,如果您要刪除該服務關聯角色,請先刪除Global Accelerator執行個體的HTTPS協議監聽,然後再刪除服務關聯角色AliyunServiceRoleForGaSsl。具體操作,請參見: