全部產品
Search

搜尋本產品

    Tablestore:Table Store服務關聯角色

    文件中心

    Tablestore:Table Store服務關聯角色

    更新時間:Jun 30, 2024

    使用Table Store資料湖投遞功能時,需要具有OSS資源的存取權限,此時可以通過Table Store控制台自動建立Table Store服務關聯角色AliyunServiceRoleForOTSDataDelivery用於擷取對OSS資源的存取權限。

    背景資訊

    服務關聯角色是一種可信實體為阿里雲服務的RAM角色。Table Store使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。

    通常情況下,服務關聯角色是在您執行某項操作時,由系統自動建立。在自動建立服務關聯角色失敗或Table Store不支援自動建立時,您需要手動建立服務關聯角色。

    阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則,該策略不支援修改。如果您想瞭解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。

    說明

    關於服務關聯角色的更多資訊,請參見服務關聯角色

    應用情境

    在使用Table Store的資料湖投遞功能時,Table Store會自動建立服務關聯角色AliyunServiceRoleForOTSDataDelivery,用於允許Table Store訪問OSS資源。

    RAM使用者使用服務關聯角色需要的許可權

    如果使用RAM使用者建立或刪除服務關聯角色,必須聯絡管理員為該RAM使用者授予管理員權限(AliyunXXXFullAccess)或在自訂權限原則的Action語句中為RAM使用者添加以下許可權:

    • 建立服務關聯角色:ram:CreateServiceLinkedRole

    • 刪除服務關聯角色:ram:DeleteServiceLinkedRole

    關於授權的詳細操作,請參見建立和刪除服務關聯角色所需的許可權

    建立服務關聯角色

    使用Table Store資料湖投遞功能時,通過Table Store控制台可以自動建立Table Store服務關聯角色AliyunServiceRoleForOTSDataDelivery。

    Table Store服務關聯角色AliyunServiceRoleForOTSDataDelivery對應的權限原則為AliyunServiceRolePolicyForOTSDataDelivery,支援的OSS操作為PutObject、AbortMultipartUpload、PutObjectTagging、GetObject和DeleteObjectTagging。

    查看服務關聯角色

    當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForOTSDataDelivery查看該服務關聯角色的以下資訊:

    • 基本資料

      在AliyunServiceRoleForOTSDataDelivery角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。

    • 權限原則

      在AliyunServiceRoleForOTSDataDelivery角色詳情頁面的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容以及該角色可授權訪問哪些雲資源。

    • 信任策略

      在AliyunServiceRoleForOTSDataDelivery角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的Service欄位查看。

    關於如何查看服務關聯角色的詳細操作,請參見查看RAM角色

    刪除服務關聯角色

    請確保當前帳號下所有執行個體均未使用資料湖投遞功能,才能刪除Table Store服務關聯角色(AliyunServiceRoleForOTSDataDelivery)。

    重要

    刪除Table Store服務關聯角色後,當前帳號下的資料將無法投遞到OSS。

    刪除服務關聯角色的操作步驟如下:

    1. 登入RAM控制台

    2. 在左側導覽列中,選擇身份管理>角色

    3. 角色頁面的搜尋方塊中,輸入AliyunServiceRoleForOTSDataDelivery,單擊image表徵圖或者按【Enter】鍵。

    4. 在RAM角色右側操作列,單擊刪除角色

    5. 刪除角色對話方塊,輸入角色名稱確認刪除操作,單擊刪除角色

      • 如果當前帳號下有執行個體使用資料湖投遞功能,將無法刪除該角色。請刪除執行個體下的投遞任務後重試刪除操作。

      • 如果當前帳號下所有執行個體均未使用資料湖投遞功能,則可直接刪除該角色。

    常見問題

    為什麼使用RAM使用者無法自動建立Table Store服務關聯角色(AliyunServiceRoleForOTSDataDelivery)?

    只有擁有指定許可權的使用者,才能自動建立或刪除Table Store服務關聯角色。當RAM使用者無法自動建立Table Store服務關聯角色時,需要為RAM使用者添加如下權限原則。

    使用時請將主帳號ID替換為實際的阿里雲帳號(主帳號)ID。

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*: 主帳號ID :role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "arms.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}