建立、查看和刪除NAS服務關聯角色 - File Storage NAS

為了完成NAS檔案系統的某個功能，NAS將自動建立NAS服務關聯角色擷取訪問Elastic Compute Service、Virtual Private Cloud等雲端服務的許可權。

背景資訊

服務關聯角色是一種可信實體為阿里雲服務的RAM角色。Apsara File Storage NAS使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。

通常情況下，服務關聯角色是在您執行某項操作時，由系統自動建立。在自動建立服務關聯角色失敗或Apsara File Storage NAS不支援自動建立時，您需要手動建立服務關聯角色。

阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則，該策略不支援修改。如果您想瞭解該系統策略的具體內容，可前往指定服務關聯角色的詳情頁面查看。

說明

關於服務關聯角色的更多資訊，請參見服務關聯角色。

應用情境

NAS服務關聯角色的應用情境如下：

AliyunServiceRoleForNasStandard
建立通用型NAS檔案系統的傳統網路類型掛載點時，需要通過AliyunServiceRoleForNasStandard角色訪問您的Elastic Compute Service服務，擷取資源清單實現鑒權邏輯。
AliyunServiceRoleForNasExtreme
極速型NAS檔案系統建立掛載點時，需要通過AliyunServiceRoleForNasExtreme角色訪問您的Virtual Private Cloud服務與Elastic Compute Service服務。
AliyunServiceRoleForNasEncryption
建立使用者管理密鑰（KMS）加密的檔案系統時，需要通過AliyunServiceRoleForNasEncryption角色存取金鑰管理服務KMS，擷取您託管給Key Management Service的密鑰資訊，並為您選擇的密鑰添加標籤，防止您誤刪除密鑰導致檔案系統不可用。
AliyunServiceRoleForNasLogDelivery
使用NAS日誌分析功能時，需要通過AliyunServiceRoleForNasLogDelivery角色訪問Log ServiceSLS，並在您的Log Service中建立Project和Logstore，將NAS中儲存的日誌資料轉儲至Logstore中。
AliyunServiceRoleForNasBackup
在建立通用型檔案系統時，若要使用檔案備份功能，需要通過AliyunServiceRoleForNasBackup角色開通雲備份服務並建立備份計劃。
AliyunServiceRoleForNasEcsHandler
當您在NAS控制台使用一鍵掛載功能掛載檔案系統時，需要通過AliyunServiceRoleForNasEcsHandler角色訪問ECS雲助手，並使用ECS雲助手為一台或多台ECS執行個體觸發一條雲助手命令，實現掛載、卸載檔案系統及查詢ECS掛載狀態。

更多服務關聯角色的資訊，請參見服務關聯角色。

許可權說明

NAS服務關聯角色的許可權內容如下：

AliyunServiceRoleForNasStandard

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasExtreme

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasEncryption

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasLogDelivery

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasBackup

{
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}

AliyunServiceRoleForNasEcsHandler

{
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}

RAM使用者使用服務關聯角色需要的許可權

如果使用RAM使用者建立或刪除服務關聯角色，必須聯絡管理員為該RAM使用者授予管理員權限（AliyunNASFullAccess）或在自訂權限原則的Action語句中為RAM使用者添加以下許可權：

建立服務關聯角色：ram:CreateServiceLinkedRole
刪除服務關聯角色：ram:DeleteServiceLinkedRole

關於授權的詳細操作，請參見建立和刪除服務關聯角色所需的許可權。

查看服務關聯角色

當服務關聯角色建立成功後，您可以在RAM控制台的角色頁面，通過搜尋服務關聯角色名稱（例如，AliyunServiceRoleForNasStandard）查看該服務關聯角色的以下資訊：

基本資料
在AliyunServiceRoleForNasStandard角色詳情頁面的基本資料地區，查看角色基本資料，包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在AliyunServiceRoleForNasStandard角色詳情頁面的許可權管理頁簽，單擊權限原則名稱，查看權限原則內容以及該角色可授權訪問哪些雲資源。
信任策略
在AliyunServiceRoleForNasStandard角色詳情頁的信任策略頁簽，查看信任策略內容。信任策略是描述RAM角色可信實體的策略，可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務，您可以通過信任策略中的Service欄位查看。

關於如何查看服務關聯角色的詳細操作，請參見查看RAM角色。

刪除服務關聯角色

如果您暫時不需要使用NAS服務關聯角色，例如不需要建立使用者管理密鑰（KMS）加密的檔案系統時，可以刪除NAS服務關聯角色。刪除時，請先刪除該角色關聯的檔案系統執行個體。具體操作，請參見刪除檔案系統和刪除服務關聯角色。

重要

刪除服務關聯角色後，依賴該角色的對應功能將無法正常使用，請謹慎刪除。

常見問題

為什麼我的RAM使用者無法自動建立NAS服務關聯角色？

只有擁有指定許可權的RAM使用者，才能自動建立或刪除Apsara File Storage NAS服務關聯角色。當RAM使用者無法自動建立Apsara File Storage NAS服務關聯角色時，需要為RAM使用者添加以下權限原則。使用時請將主帳號ID替換為實際的阿里雲帳號（主帳號）ID。具體操作，請參見建立自訂權限原則。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主帳號ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}