全部產品
Search

搜尋本產品

    Resource Management:資來源目錄中的RAM角色

    文件中心

    Resource Management:資來源目錄中的RAM角色

    更新時間:Jun 30, 2024

    本文為您介紹在資來源目錄中為管理帳號和成員自動建立的RAM角色。

    總覽

    資來源目錄管理帳號和成員內自動建立的RAM角色如下表所示。

    帳號類型

    RAM角色名稱

    RAM角色類型

    管理帳號

    AliyunServiceRoleForResourceDirectory

    服務關聯角色

    成員

    AliyunServiceRoleForResourceDirectory

    服務關聯角色

    ResourceDirectoryAccountAccessRole

    可信實體為阿里雲帳號的RAM角色

    AliyunServiceRoleFor***

    服務關聯角色

    AliyunServiceRoleForResourceDirectory

    應用情境

    服務關聯角色(AliyunServiceRoleForResourceDirectory)用於為資來源目錄可信服務提供訪問通道。資來源目錄服務通過該服務關聯角色為可信服務建立服務關聯角色,使其可以擷取其他雲端服務的存取權限。關於服務關聯角色的更多資訊,請參見服務關聯角色

    權限原則

    名稱:AliyunServiceRolePolicyForResourceDirectory

    內容:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "resourcemanager.aliyuncs.com"
                }
            }
        }
    ]
}

    信任策略

    {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resourcemanager.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

    建立角色

    系統會在以下情境中自動建立服務關聯角色(AliyunServiceRoleForResourceDirectory):

    • 資來源目錄開通成功後,在管理帳號內建立該服務關聯角色。

    • 成員建立成功後,在成員內建立該服務關聯角色。

    • 被邀請帳號成功加入資來源目錄後,在被邀請帳號內建立該服務關聯角色。

    刪除角色

    警告

    刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。

    系統會在以下情境中嘗試自動刪除服務關聯角色(AliyunServiceRoleForResourceDirectory):

    • 關閉資來源目錄時,系統將自動刪除管理帳號內的該服務關聯角色。

    • 從資來源目錄中移除成員時,系統將自動刪除成員內的該服務關聯角色。

    當服務關聯角色(AliyunServiceRoleForResourceDirectory)沒有被任何雲資源使用時,您也可以手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色

    ResourceDirectoryAccountAccessRole

    應用情境

    RAM角色(ResourceDirectoryAccountAccessRole)用於資來源目錄管理員登入成員進行相關管理操作,該角色中的可信實體為資來源目錄管理帳號。

    權限原則

    名稱:AdministratorAccess

    內容:

    {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

    信任策略

    {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::151266687691****:root"  //151266687691****為管理帳號ID。
        ]
      }
    }
  ],
  "Version": "1"
}

    建立角色

    系統會在以下情境中自動在成員內建立RAM角色(ResourceDirectoryAccountAccessRole):

    • 成員建立成功後,在成員內建立該RAM角色。

    • 被邀請帳號成功加入資來源目錄後,在被邀請帳號內建立該RAM角色。

    刪除角色

    警告

    刪除RAM角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。

    從資來源目錄中移除成員時,系統將自動刪除成員內的RAM角色(ResourceDirectoryAccountAccessRole)。

    當RAM角色(ResourceDirectoryAccountAccessRole)下沒有任何授權時,您也可以手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色

    AliyunServiceRoleFor***

    應用情境

    服務關聯角色(AliyunServiceRoleFor***)用於可信服務執行預定任務,解決可信服務與資來源目錄之間的跨服務訪問問題。關於服務關聯角色的更多資訊,請參見服務關聯角色

    說明

    AliyunServiceRoleFor***中的***表示可信服務,例如:配置審計的服務關聯角色AliyunServiceRoleForConfig。

    權限原則

    權限原則由可信服務制定,一般包含以下兩類許可權:

    • 可信服務執行預定任務所需的雲端服務操作許可權。

    • 可信服務刪除該服務關聯角色的許可權。

    信任策略

    {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "***.aliyuncs.com"  //***表示可信服務,例如:config.aliyuncs.com。
        ]
      }
    }
  ],
  "Version": "1"
}

    建立角色

    啟用某個可信服務時,資來源目錄通過服務關聯角色(AliyunServiceRoleForResourceDirectory)在成員中建立服務關聯角色(AliyunServiceRoleFor***)。

    刪除角色

    警告

    刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。

    從資來源目錄移除成員時,資來源目錄會廣播該訊息給可信服務,可信服務會自主決定是否自動刪除服務關聯角色(AliyunServiceRoleFor***)。一般情況下,可信服務會自動刪除該服務關聯角色。但某種特定情況下可能不會自動刪除,此時,您可以登入成員,嘗試手動刪除該服務關聯角色。具體操作,請參見刪除RAM角色