配置专有网络访问控制时,ACR会自动为您创建一个服务关联角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,便于ACR通过您的云解析PrivateZone自动进行域名解析。本文介绍该服务关联角色基本信息、常见问题以及如何删除该服务关联角色。
背景信息
服务关联角色是在某些情况下,为了完成ACR自身的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。更多服务关联角色的信息,请参见服务关联角色。
应用场景
ACR的专有网络访问控制功能需要使用云解析PrivateZone为VPC域名设置DNS解析。创建专有网络时,ACR会自动创建服务关联角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,ACR会通过该角色获取访问云解析PrivateZone内资源的权限。
角色介绍
角色名称:AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone
角色权限策略:AliyunServiceRolePolicyForContainerRegistryAccessCustomerPrivate
角色权限说明:
{ "Action": [ "pvtz:AddZone", "pvtz:DeleteZone", "pvtz:BindZoneVpc", "pvtz:UpdateZoneRemark", "pvtz:SetProxyPattern", "pvtz:DescribeRegions", "pvtz:DescribeZoneInfo", "pvtz:DescribeZones", "pvtz:AddZoneRecord", "pvtz:DeleteZoneRecord", "pvtz:UpdateRecordRemark", "pvtz:DescribeZoneRecords" ], "Resource": "*", "Effect": "Allow" }
删除角色
当您不需要使用专有网络访问控制功能时,您可以删除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone角色。
删除专有网络。
删除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone之前,您需要先删除专有网络。
登录容器镜像服务控制台。
在左侧导航栏,选择实例列表。
在实例列表页面单击目标企业版实例。
在企业版实例管理页面选择。
在专有网络页签下单击专有网络右侧操作列下的删除。
在弹出的对话框单击确定。
使用阿里云账号登录RAM控制台。
在控制台左侧导航栏选择。
在角色页面搜索框中搜索AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,然后单击AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone右侧操作列下的删除。
在弹出的对话框单击确定。
FAQ
为什么RAM用户无法自动创建服务关联角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone?
您需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone。RAM用户无法自动创建AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone时,您需为其添加以下权限策略。具体操作,请参见RAM授权信息。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:阿里云账号ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"access-customer-privatezone.cr.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}