ASM服务关联角色(AliyunServiceRoleForServiceMesh)是访问控制提供的一种服务关联角色,用于授权服务网格访问关联云资源。本文介绍如何创建和删除ASM服务关联角色。
背景信息
服务关联角色是与云服务关联的角色。通过ASM服务关联角色(AliyunServiceRoleForServiceMesh),服务网格可以获得阿里云容器服务ACK、专有网络VPC、负载均衡CLB、日志服务SLS、可观测链路 OpenTelemetry 版、应用实时监控服务ARMS、云企业网CEN等的访问权限。更多服务关联角色的说明,请参见服务关联角色。
注意事项
如果您使用的是阿里云账号,则默认有创建ASM服务关联角色的权限。如果您使用的是RAM用户,需要为RAM用户授予创建服务网格服务关联角色的权限。以下为需要授予的权限策略(CreateServiceLinkedRole)。具体操作,请参见为RAM用户授权。
{
"Statement": [
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "servicemesh.aliyuncs.com"
}
}
}
],
"Version": "1"
}创建ASM服务关联角色
在您使用服务网格时,系统会检查当前账号是否已有AliyunServiceRoleForServiceMesh。如果不存在则会提示进行创建,在服务网格提示页面单击立即创建,即可创建ASM服务关联角色。
服务关联角色包含的权限策略由对应的云服务定义和使用,您不能为服务关联角色添加、修改或删除权限。您可以在角色详情中查看角色包含的权限策略等信息。具体操作,请参见查看RAM角色。
删除ASM服务关联角色
如果您暂时不需要使用AliyunServiceRoleForServiceMesh,例如不需要创建或使用服务网格,可以删除AliyunServiceRoleForServiceMesh。
删除AliyunServiceRoleForServiceMesh前,必须先删除当前账号下所有地域中的服务网格实例,否则会提示删除失败。一个阿里云账号下只有一个AliyunServiceRoleForSerivceMesh,删除AliyunServiceRoleForServiceMesh后,阿里云账号和RAM用户都将无法再创建和使用服务网格。
使用阿里云账号登录RAM控制台,在左侧导航栏,单击身份管理 > 角色。
在角色页面的搜索框,输入AliyunServiceRoleForServiceMesh,然后在操作列,单击AliyunServiceRoleForServiceMesh对应的删除。
在删除角色对话框,单击确定。
说明删除服务关联角色时,操作列会先显示角色删除中…,您需要等待几秒钟,直至提示删除成功。对于删除失败的情形,请在报错提示信息中单击查看详情,根据错误详情进行相应处理。