什麼是服務關聯角色AliyunServiceRoleForGaVpcEndpoint,如何建立服務關聯角色AliyunServiceRoleForGaVpcEndpoint - Global Accelerator

如果您的Global Accelerator不存在服務關聯角色AliyunServiceRoleForGaVpcEndpoint，您在配置Elastic Compute Service、彈性網卡 ENI、傳統型負載平衡 CLB（原SLB）、應用型負載平衡 ALB或網路型負載平衡 NLB為Global Accelerator終端節點時，系統會自動建立服務關聯角色AliyunServiceRoleForGaVpcEndpoint。

AliyunServiceRoleForGaVpcEndpoint簡介

AliyunServiceRoleForGaVpcEndpoint是Global Accelerator的一種服務關聯角色SLR（Service Linked Role），在配置Global Accelerator終端節點時，Global Accelerator需要擁有該服務關聯角色才能將Elastic Compute Service、彈性網卡 ENI、傳統型負載平衡 CLB（原SLB）、應用型負載平衡 ALB或網路型負載平衡 NLB添加為Global Accelerator的終端節點。

說明

服務關聯角色是指與某個雲端服務關聯的存取控制（RAM）角色。在某些情境下，為了完成雲端服務的某個功能，需要擷取訪問其他雲端服務的許可權。通過服務關聯角色，您可以更好地建立雲端服務正常操作所需的許可權，避免誤操作帶來的風險。更多關於服務關聯角色的資訊，請參見服務關聯角色。

建立服務關聯角色AliyunServiceRoleForGaVpcEndpoint所需的許可權

阿里雲帳號（主帳號）預設擁有建立服務關聯角色AliyunServiceRoleForGaVpcEndpoint的許可權，RAM使用者（子帳號）必須擁有以下許可權，才可以建立服務關聯角色AliyunServiceRoleForGaVpcEndpoint：

{
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpcendpoint.ga.aliyuncs.com"
        }
      }
}

您可以通過以下兩種方式為RAM使用者（子帳號）授予建立AliyunServiceRoleForGaVpcEndpoint所需的許可權：

為RAM使用者（子帳號）添加管理員權限策略AliyunGlobalAccelerationFullAccess。具體操作，請參見為RAM角色授權。
說明
建立Global Accelerator服務關聯角色AliyunServiceRoleForGaVpcEndpoint的許可權通常包含在管理員權限策略AliyunGlobalAccelerationFullAccess中，因此只要擁有Global Accelerator的管理員權限，就可以為Global Accelerator建立服務關聯角色AliyunServiceRoleForGaVpcEndpoint。

添加自訂權限原則，並為RAM使用者（子帳號）授權。自訂權限原則包含以下許可權：

{
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpcendpoint.ga.aliyuncs.com"
        }
      }
}

具體操作，請參見建立自訂權限原則和為RAM角色授權。

建立服務關聯角色AliyunServiceRoleForGaVpcEndpoint

您在配置Elastic Compute Service、彈性網卡 ENI、傳統型負載平衡 CLB（原SLB）、應用型負載平衡 ALB或網路型負載平衡 NLB為Global Accelerator終端節點時，系統會判斷Global Accelerator是否擁有服務關聯角色AliyunServiceRoleForGaVpcEndpoint：

如果Global Accelerator不存在服務關聯角色AliyunServiceRoleForGaVpcEndpoint，系統會自動建立該服務關聯角色，並為該服務關聯角色添加名稱為AliyunServiceRoleForGaVpcEndpoint的權限原則，授予Global Accelerator擁有訪問Elastic Compute Service、彈性網卡 ENI、傳統型負載平衡 CLB（原SLB）、應用型負載平衡 ALB或網路型負載平衡 NLB的許可權，策略內容如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Resource": "*",
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:ModifyNetworkInterfaceAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress",
        "ecs:JoinSecurityGroup",
        "ecs:LeaveSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeSecurityGroupReferences",
        "ecs:ModifySecurityGroupAttribute",
        "ecs:ModifySecurityGroupEgressRule",
        "ecs:ModifySecurityGroupPolicy",
        "ecs:ModifySecurityGroupRule",
        "vpc:DescribeVSwitches"
      ]
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpcendpoint.ga.aliyuncs.com"
        }
      }
    }
  ]
}

如果Global Accelerator已經擁有服務關聯角色AliyunServiceRoleForGaVpcEndpoint，則不會重複建立該服務關聯角色。

刪除服務關聯角色AliyunServiceRoleForGaVpcEndpoint

系統不會自動刪除Global Accelerator的服務關聯角色AliyunServiceRoleForGaVpcEndpoint，如果您要刪除該服務關聯角色，請先刪除終端節點類型為Elastic Compute Service、彈性網卡 ENI、傳統型負載平衡 CLB（原SLB）、應用型負載平衡 ALB或網路型負載平衡 NLB的終端節點，然後再刪除服務關聯角色AliyunServiceRoleForGaVpcEndpoint。具體操作，請參見：