全部產品
Search
文件中心

ApsaraDB RDS:服務關聯角色

更新時間:Dec 05, 2024

本文為您介紹RDS服務關聯角色的應用情境以及如何刪除服務關聯角色。

背景資訊

RDS當前支援的服務關聯角色:

  • RDS MySQL服務關聯角色(AliyunServiceRoleForRds)

  • RDS PostgreSQL服務關聯角色(AliyunServiceRoleForRdsPgsqlOnEcs)

  • RDS PostgreSQL Proxy資料庫代理服務關聯角色(AliyunServiceRoleForRDSProxyOnEcs)

服務關聯角色是在某些情況下,為了完成RDS自身的某個功能,需要擷取其他雲端服務的存取權限,而提供的RAM角色。更多關於服務關聯角色的資訊請參見服務關聯角色

服務關聯角色介紹

AliyunServiceRoleForRds

角色名稱

AliyunServiceRoleForRds

角色權限原則

AliyunServiceRolePolicyForRds

許可權詳情

AliyunServiceRoleForRds策略內容

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress",
                "ecs:DescribeKeyPairs",
                "ecs:ModifyImageSharePermission",
                "ecs:DescribeImages"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:AssociateEipAddress",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "rds-ecs-service.rds.aliyuncs.com"
                }
            }
        }
    ]
}

建立角色

該角色用於RDS MySQL資料庫授權,您可以在建立資料庫時,根據控制台提示進行建立,更多資訊,請參見建立資料庫

刪除角色

如果您需要刪除服務關聯角色,需要先刪除依賴這個服務角色的所有資料庫。

  1. 刪除RDS MySQL資料庫具體操作請參見刪除資料庫

  2. 刪除服務關聯角色具體操作請參見刪除服務關聯角色

AliyunServiceRoleForRdsPgsqlOnEcs

角色名稱

AliyunServiceRoleForRdsPgsqlOnEcs

角色權限原則

AliyunServiceRolePolicyForRdsPgsqlOnEcs

許可權詳情

AliyunServiceRoleForRdsPgsqlOnEcs策略內容

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Listkeys",
                "kms:Listaliases",
                "kms:ListResourceTags",
                "kms:DescribeKey",
                "kms:UntagResource",
                "kms:TagResource",
                "kms:DescribeAccountKmsStatus"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "pgsql-onecs.rds.aliyuncs.com"
                }
            }
        }
    ]
}

建立角色

  1. 登入RAM控制台

  2. 在左側導覽列選擇身份管理 > 角色

  3. 單擊建立角色

  4. 建立角色嚮導的選擇類型步驟中,選擇阿里雲服務,然後單擊下一步

  5. 配置角色步驟中,角色類型選擇服務關聯角色選擇雲端服務配置為雲關係型資料庫 Postgresql-OnEcs,然後單擊完成

    image..png

刪除角色

如果您需要刪除服務關聯角色,需要先釋放依賴這個服務角色的所有執行個體。

  1. 釋放RDS PostgreSQL版執行個體具體操作請參見釋放執行個體

  2. 刪除服務關聯角色具體操作請參見刪除服務關聯角色

AliyunServiceRoleForRDSProxyOnEcs

角色名稱

AliyunServiceRoleForRDSProxyOnEcs

角色權限原則

AliyunServiceRolePolicyForRDSProxyOnEcs

許可權詳情

AliyunServiceRoleForRDSProxyOnEcs策略內容

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "rdsproxy-onecs.rds.aliyuncs.com"
                }
            }
        }
    ]
}

建立角色

該角色用於RDS PostgreSQL資料庫代理授權,您可以在建立資料庫代理時,根據控制台提示進行建立,更多資訊,請參見開通資料庫代理

刪除角色

如果您需要刪除服務關聯角色,需要先關閉依賴這個服務角色的所有資料庫代理。

  1. 關閉RDS PostgreSQL資料庫代理的具體操作請參見關閉資料庫代理

  2. 刪除服務關聯角色具體操作請參見刪除服務關聯角色

相關OpenAPI

您可以調用CreateServiceLinkedRole介面建立RDS執行個體的服務關聯角色。需要配置的參數如下:

參數

說明

樣本值

RegionId

地區ID,您可以通過DescribeRegions介面查看可用的地區ID。

cn-hangzhou

ServiceLinkedRole

服務關聯角色。

  • AliyunServiceRoleForRds:RDS MySQL服務關聯角色

  • AliyunServiceRoleForRdsPgsqlOnEcs:RDS PostgreSQL服務關聯角色

  • AliyunServiceRoleForRDSProxyOnEcs:RDS PostgreSQL Proxy資料庫代理服務關聯角色

AliyunServiceRoleForRdsPgsqlOnEcs