服務關聯角色是一種可信實體為阿里雲服務的RAM角色。ApsaraDB for Redis使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。
應用情境
ApsaraDB for Redis服務關聯角色(AliyunServiceRoleForKvstore)是用於訪問其他雲端服務的RAM角色。
當您在使用ApsaraDB for Redis時,為了完成Redis的某個功能,需要擷取其他雲端服務的存取權限,例如使用Redis的日誌管理功能,需要通過AliyunServiceRoleForKvstore擷取Log Service相關資源的存取權限。
RAM使用者建立服務關聯角色要求的權限
建立服務關聯角色的許可權通常包含在其對應雲端服務的管理員權限策略,例如:AliyunKvstoreFullAccess(管理ApsaraDB for Redis的許可權),因此只要具有該雲端服務的管理員權限,就可以為該雲端服務建立服務關聯角色。
如果您的RAM使用者權限不足,您可以添加下述許可權後再執行關聯角色的授權操作,添加許可權的方法參見建立自訂權限原則和為RAM使用者授權;您也可以直接使用主帳號執行關聯角色的授權操作。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "r-kvstore.aliyuncs.com"
}
}
}
建立服務關聯角色
服務關聯角色是與某個雲端服務關聯的角色,在您使用特定功能時,關聯的雲端服務會自動建立或刪除服務關聯角色,不需要您主動建立或刪除。通過服務關聯角色可以更好的配置雲端服務正常操作所必須的許可權,避免誤操作帶來的風險。更多介紹,請參見服務關聯角色。
服務關聯角色的權限原則由關聯的雲端服務定義和使用,您不能修改或刪除權限原則,也不能為服務關聯角色添加或移除許可權。
查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForKvstore查看該角色的資訊:
基本資料
在AliyunServiceRoleForKvstore角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在AliyunServiceRoleForKvstore角色詳情頁面的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容以及該角色可授權訪問哪些雲資源。
信任策略
在AliyunServiceRoleForKvstore角色詳情頁的信任策略管理頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service
欄位查看。
關於如何查看服務關聯角色的詳細操作,請參見查看RAM角色。
刪除服務關聯角色
如果您需要刪除服務關聯角色:AliyunServiceRoleForKvstore,需要先釋放依賴這個服務關聯角色的Redis執行個體,相關操作方法請參見釋放隨用隨付執行個體和刪除服務關聯角色。