全部產品
Search
文件中心

Resource Management:資來源目錄中的RAM角色

更新時間:Jun 30, 2024

本文為您介紹在資來源目錄中為管理帳號和成員自動建立的RAM角色。

總覽

資來源目錄管理帳號和成員內自動建立的RAM角色如下表所示。

帳號類型

RAM角色名稱

RAM角色類型

管理帳號

AliyunServiceRoleForResourceDirectory

服務關聯角色

成員

AliyunServiceRoleForResourceDirectory

服務關聯角色

ResourceDirectoryAccountAccessRole

可信實體為阿里雲帳號的RAM角色

AliyunServiceRoleFor***

服務關聯角色

AliyunServiceRoleForResourceDirectory

應用情境

服務關聯角色(AliyunServiceRoleForResourceDirectory)用於為資來源目錄可信服務提供訪問通道。資來源目錄服務通過該服務關聯角色為可信服務建立服務關聯角色,使其可以擷取其他雲端服務的存取權限。關於服務關聯角色的更多資訊,請參見服務關聯角色

權限原則

名稱:AliyunServiceRolePolicyForResourceDirectory

內容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "resourcemanager.aliyuncs.com"
                }
            }
        }
    ]
}

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resourcemanager.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

建立角色

系統會在以下情境中自動建立服務關聯角色(AliyunServiceRoleForResourceDirectory):

  • 資來源目錄開通成功後,在管理帳號內建立該服務關聯角色。

  • 成員建立成功後,在成員內建立該服務關聯角色。

  • 被邀請帳號成功加入資來源目錄後,在被邀請帳號內建立該服務關聯角色。

刪除角色

警告

刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。

系統會在以下情境中嘗試自動刪除服務關聯角色(AliyunServiceRoleForResourceDirectory):

  • 關閉資來源目錄時,系統將自動刪除管理帳號內的該服務關聯角色。

  • 從資來源目錄中移除成員時,系統將自動刪除成員內的該服務關聯角色。

當服務關聯角色(AliyunServiceRoleForResourceDirectory)沒有被任何雲資源使用時,您也可以手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色

ResourceDirectoryAccountAccessRole

應用情境

RAM角色(ResourceDirectoryAccountAccessRole)用於資來源目錄管理員登入成員進行相關管理操作,該角色中的可信實體為資來源目錄管理帳號。

權限原則

名稱:AdministratorAccess

內容:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::151266687691****:root"  //151266687691****為管理帳號ID。
        ]
      }
    }
  ],
  "Version": "1"
}

建立角色

系統會在以下情境中自動在成員內建立RAM角色(ResourceDirectoryAccountAccessRole):

  • 成員建立成功後,在成員內建立該RAM角色。

  • 被邀請帳號成功加入資來源目錄後,在被邀請帳號內建立該RAM角色。

刪除角色

警告

刪除RAM角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。

從資來源目錄中移除成員時,系統將自動刪除成員內的RAM角色(ResourceDirectoryAccountAccessRole)。

當RAM角色(ResourceDirectoryAccountAccessRole)下沒有任何授權時,您也可以手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色

AliyunServiceRoleFor***

應用情境

服務關聯角色(AliyunServiceRoleFor***)用於可信服務執行預定任務,解決可信服務與資來源目錄之間的跨服務訪問問題。關於服務關聯角色的更多資訊,請參見服務關聯角色

說明

AliyunServiceRoleFor***中的***表示可信服務,例如:配置審計的服務關聯角色AliyunServiceRoleForConfig。

權限原則

權限原則由可信服務制定,一般包含以下兩類許可權:

  • 可信服務執行預定任務所需的雲端服務操作許可權。

  • 可信服務刪除該服務關聯角色的許可權。

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "***.aliyuncs.com"  //***表示可信服務,例如:config.aliyuncs.com。
        ]
      }
    }
  ],
  "Version": "1"
}

建立角色

啟用某個可信服務時,資來源目錄通過服務關聯角色(AliyunServiceRoleForResourceDirectory)在成員中建立服務關聯角色(AliyunServiceRoleFor***)。

刪除角色

警告

刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。

從資來源目錄移除成員時,資來源目錄會廣播該訊息給可信服務,可信服務會自主決定是否自動刪除服務關聯角色(AliyunServiceRoleFor***)。一般情況下,可信服務會自動刪除該服務關聯角色。但某種特定情況下可能不會自動刪除,此時,您可以登入成員,嘗試手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色