服務關聯角色(ServiceLinkedRole,簡稱SLR)是一種可信實體為阿里雲服務的RAM角色,旨在解決跨雲端服務的授權訪問問題。如您需要使用Hologres來訪問MaxCompute服務,則需要建立服務關聯角色AliyunServiceRoleForHologresIdentityMgmt,本文為您介紹AliyunServiceRoleForHologresIdentityMgmt的建立、授權、查看以及刪除方式。
更多關於服務關聯角色的資訊,請參見服務關聯角色。
AliyunServiceRoleForHologresIdentityMgmt介紹
角色說明
服務名稱:identity.hologres.aliyuncs.com。
角色名稱:AliyunServiceRoleForHologresIdentityMgmt。
服務角色說明:Hologres使用此角色來訪問您在MaxCompute服務的資源。
建立AliyunServiceRoleForHologresIdentityMgmt角色並授權
對於新購執行個體和已有執行個體,您可通過不同的方式建立AliyunServiceRoleForHologresIdentityMgmt角色並授權。
通過RAM使用者建立AliyunServiceRoleForHologresIdentityMgmt角色時,RAM使用者必須具備CreateServiceLinkedRole許可權,詳情請參見建立服務關聯角色所需的許可權。
新購執行個體
可在Hologres執行個體購買頁單擊建立服務關聯角色進行授權。
已有執行個體
若無需新購或升級執行個體,可通過存取控制快速授權頁面或OpenAPI進行服務關聯角色的建立和授權。
登入Hologres管理主控台後,訪問授權服務關聯角色進行快速授權。
通過OpenAPI建立並授權
進入OpenAPI。
在參數配置中配置ServiceName為identity.hologres.aliyuncs.com。
單擊發起調用。
調用成功後,可在RAM控制台中查看該角色。
查看服務關聯角色
對於已建立的服務關聯角色AliyunServiceRoleForHologresIdentityMgmt,您可通過以下方式查看其許可權資訊。
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
在左側導覽列選擇身份管理 > 角色。
在角色頁面搜尋AliyunServiceRoleForHologresIdentityMgmt,單擊目標角色名稱。
在許可權管理頁簽,單擊目標角色的權限原則。
在策略內容頁簽,查看許可權說明。
說明服務關聯角色(AliyunServiceRoleForHologresIdentityMgmt)僅支援查看權限原則,不支援修改。
刪除服務關聯角色
當您需要禁止Hologres繼續訪問MaxCompute服務時,您可以在RAM控制台手動刪除AliyunServiceRoleForHologresIdentityMgmt角色,即可禁止Hologres跨產品訪問。具體操作,請參見刪除RAM角色。
服務關聯角色(AliyunServiceRoleForHologresIdentityMgmt)刪除時,會同時解除授權。
通過RAM使用者刪除AliyunServiceRoleForHologresIdentityMgmt角色時,RAM使用者必須具備DeleteServiceLinkedRole許可權,詳見刪除服務關聯角色所需的許可權。
常見問題
問題一:在Hologres新購執行個體頁面點擊建立服務關聯角色時,顯示“當前登入使用者沒有建立服務關聯角色的許可權,請聯絡主帳號或許可權管理員授權目前使用者。”
解決方案:您可使用阿里雲帳號(主帳號)為RAM使用者授予CreateServiceLinkedRole許可權,詳情請參見服務關聯角色。
問題二:在Hologres中訪問MaxCompute外部表格時,您可能會遇到以下報錯:
報錯一:
ERROR: Fail to access foreign data as user 1063806044629636, AliyunServiceRoleForHologresIdentityMgmt does not exist。報錯二:
ErrorMessage=ODPS-0420095: Access Denied - Authorization Failed [4111], You have NO privilege \'odps:ActOnBehalfOfAnotherUser\' on {acs:odps:regions_id:xxxxxx:users/default/aliyun/xxxxxx. Not pass by ram permission check。
解決方案:您需要重新對服務關聯角色(AliyunServiceRoleForHologresIdentityMgmt)進行授權,詳情請參見建立AliyunServiceRoleForHologresIdentityMgmt角色並授權中通過Hologres管理主控台為已有執行個體授權的方法。