本文為您介紹在資來源目錄中為管理帳號和成員自動建立的RAM角色。
總覽
資來源目錄管理帳號和成員內自動建立的RAM角色如下表所示。
帳號類型 | RAM角色名稱 | RAM角色類型 |
管理帳號 | 服務關聯角色 | |
成員 | 服務關聯角色 | |
可信實體為阿里雲帳號的RAM角色 | ||
服務關聯角色 |
AliyunServiceRoleForResourceDirectory
應用情境
服務關聯角色(AliyunServiceRoleForResourceDirectory)用於為資來源目錄可信服務提供訪問通道。資來源目錄服務通過該服務關聯角色為可信服務建立服務關聯角色,使其可以擷取其他雲端服務的存取權限。關於服務關聯角色的更多資訊,請參見服務關聯角色。
權限原則
名稱:AliyunServiceRolePolicyForResourceDirectory
內容:
{
"Version": "1",
"Statement": [
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}
]
}
信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"resourcemanager.aliyuncs.com"
]
}
}
],
"Version": "1"
}
建立角色
系統會在以下情境中自動建立服務關聯角色(AliyunServiceRoleForResourceDirectory):
資來源目錄開通成功後,在管理帳號內建立該服務關聯角色。
成員建立成功後,在成員內建立該服務關聯角色。
被邀請帳號成功加入資來源目錄後,在被邀請帳號內建立該服務關聯角色。
刪除角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
系統會在以下情境中嘗試自動刪除服務關聯角色(AliyunServiceRoleForResourceDirectory):
關閉資來源目錄時,系統將自動刪除管理帳號內的該服務關聯角色。
從資來源目錄中移除成員時,系統將自動刪除成員內的該服務關聯角色。
當服務關聯角色(AliyunServiceRoleForResourceDirectory)沒有被任何雲資源使用時,您也可以手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色。
ResourceDirectoryAccountAccessRole
應用情境
RAM角色(ResourceDirectoryAccountAccessRole)用於資來源目錄管理員登入成員進行相關管理操作,該角色中的可信實體為資來源目錄管理帳號。
權限原則
名稱:AdministratorAccess
內容:
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "1"
}
信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::151266687691****:root" //151266687691****為管理帳號ID。
]
}
}
],
"Version": "1"
}
建立角色
系統會在以下情境中自動在成員內建立RAM角色(ResourceDirectoryAccountAccessRole):
成員建立成功後,在成員內建立該RAM角色。
被邀請帳號成功加入資來源目錄後,在被邀請帳號內建立該RAM角色。
刪除角色
刪除RAM角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
從資來源目錄中移除成員時,系統將自動刪除成員內的RAM角色(ResourceDirectoryAccountAccessRole)。
當RAM角色(ResourceDirectoryAccountAccessRole)下沒有任何授權時,您也可以手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色。
AliyunServiceRoleFor***
應用情境
服務關聯角色(AliyunServiceRoleFor***)用於可信服務執行預定任務,解決可信服務與資來源目錄之間的跨服務訪問問題。關於服務關聯角色的更多資訊,請參見服務關聯角色。
AliyunServiceRoleFor***中的***表示可信服務,例如:配置審計的服務關聯角色AliyunServiceRoleForConfig。
權限原則
權限原則由可信服務制定,一般包含以下兩類許可權:
可信服務執行預定任務所需的雲端服務操作許可權。
可信服務刪除該服務關聯角色的許可權。
信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"***.aliyuncs.com" //***表示可信服務,例如:config.aliyuncs.com。
]
}
}
],
"Version": "1"
}
建立角色
啟用某個可信服務時,資來源目錄通過服務關聯角色(AliyunServiceRoleForResourceDirectory)在成員中建立服務關聯角色(AliyunServiceRoleFor***)。
刪除角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
從資來源目錄移除成員時,資來源目錄會廣播該訊息給可信服務,可信服務會自主決定是否自動刪除服務關聯角色(AliyunServiceRoleFor***)。一般情況下,可信服務會自動刪除該服務關聯角色。但某種特定情況下可能不會自動刪除,此時,您可以登入成員,嘗試手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色。