什麼是AliyunServiceRoleForVpn -

本文介紹服務關聯角色AliyunServiceRoleForVpn。在您建立第一個VPN網關執行個體或第一個IPsec串連（指IPsec串連綁定轉寄路由器的情境）時，系統將自動建立AliyunServiceRoleForVpn，該服務關聯角色允許VPN網關對彈性網卡、安全性群組等資源進行操作，以便您可以成功建立VPN網關執行個體或IPsec串連。

背景資訊

在某些情境下，一個雲端服務為了完成自身的某個功能，需要擷取其他雲端服務的存取權限。例如：配置審計（Config）服務要讀取您的雲資源資訊，以擷取資源清單和變更歷史，就需要擷取ECS、RDS等產品的存取權限。阿里雲提供了服務關聯角色SLR（Service Linked Role）來滿足此類情境的需求。

服務關聯角色是一種可信實體為阿里雲服務的RAM角色，旨在解決跨雲端服務的授權訪問問題。服務關聯角色是與某個雲端服務關聯的角色。多數情況下，在您使用特定功能時，關聯的雲端服務會自動建立或刪除服務關聯角色，不需要您主動建立或刪除。通過服務關聯角色可以更好地配置雲端服務正常操作所必需的許可權，避免誤操作帶來的風險。

服務關聯角色的權限原則由關聯的雲端服務定義和使用，您不能修改或刪除權限原則，也不能為服務關聯角色添加或移除許可權。

更多資訊，請參見服務關聯角色。

建立服務關聯角色AliyunServiceRoleForVpn

建立第一個VPN網關執行個體時或者第一個IPsec串連時（指IPsec串連綁定轉寄路由器的情境），系統會自動建立服務關聯角色AliyunServiceRoleForVpn，以便您可以成功建立VPN網關執行個體或IPsec串連。如果您的帳號下已存在該服務關聯角色，系統則不會重複建立。

建立VPN網關執行個體的操作，請參見建立和管理VPN網關執行個體。
建立IPsec串連的操作，請參見建立IPsec串連或建立VPN串連。

AliyunServiceRoleForVpn角色下包含名稱為AliyunServiceRolePolicyForVpn的權限原則，此權限原則包含了一系列允許VPN網關執行的操作。策略內容如下：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVSwitchAttributes",
        "vpc:TagResources",
        "vpc:DescribeRouteTableList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:JoinSecurityGroup",
        "ecs:LeaveSecurityGroup",
        "ecs:DescribeSecurityGroups",
        "ecs:AttachNetworkInterface",
        "ecs:DetachNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateSecurityGroupPermission",
        "ecs:AuthorizeSecurityGroupPermission",
        "ecs:RevokeSecurityGroupPermission",
        "ecs:JoinSecurityGroupPermission",
        "ecs:DeleteSecurityGroupPermission",
        "ecs:LeaveSecurityGroupPermission",
        "ecs:DescribeSecurityGroupPermissions",
        "ecs:AttachNetworkInterfacePermissions",
        "ecs:DetachNetworkInterfacePermissions",
        "ecs:AssignPrivateIpAddresses",
        "ecs:UnassignPrivateIpAddresses",
        "ecs:DescribeNetworkInterfaceAttribute"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpn.aliyuncs.com"
        }
      }
    }
  ]
}

刪除服務關聯角色AliyunServiceRoleForVpn

您的帳號下不存在VPN網關執行個體和IPsec串連時，才支援刪除服務關聯角色AliyunServiceRoleForVpn。具體操作，請參見：

常見問題

為什麼我的RAM使用者（子帳號）無法建立服務關聯角色AliyunServiceRoleForVpn？

阿里雲帳號（主帳號）預設擁有建立服務關聯角色AliyunServiceRoleForVpn的許可權，RAM使用者（子帳號）必須擁有相應許可權，才可以建立服務關聯角色AliyunServiceRoleForVpn。

您需要建立如下自訂權限原則，為RAM使用者（子帳號）授予建立服務關聯角色AliyunServiceRoleForVpn的許可權。具體操作，請參見建立自訂權限原則和為RAM角色授權。

{
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "vpn.aliyuncs.com"
                }
            }
        }
    ],
    "Version": "1"
}