全部产品
Search

搜索本产品

    运维安全中心(堡垒机):授权访问云资源

    文档中心

    运维安全中心(堡垒机):授权访问云资源

    更新时间:Mar 19, 2024

    首次使用堡垒机服务前,您需要先完成允许堡垒机访问云资源的授权。本文介绍如何进行云资源授权。

    前提条件

    • 您已购买堡垒机实例。更多信息,请参见购买实例

    • 您使用的是阿里云账号或拥有创建和删除服务关联角色权限的RAM用户。

    背景信息

    首次使用堡垒机服务时,阿里云会自动创建堡垒机服务关联角色AliyunServiceRoleForBastionhost,授权堡垒机访问其他关联的云服务。服务关联角色无需您手动创建或做任何修改。相关内容,请参见服务关联角色

    操作步骤

    1. 登录堡垒机控制台

    2. 欢迎使用堡垒机对话框中,单击确认创建

      您购买堡垒机实例后,首次登录堡垒机控制台时,堡垒机页面会提示您创建服务关联角色的流程。

      当您单击确认创建后,阿里云将自动为您创建堡垒机服务关联角色AliyunServiceRoleForBastionhost。您可以在RAM控制台查看阿里云为堡垒机自动创建的服务关联角色。只有创建服务关联角色AliyunServiceRoleForBastionhost后,您的堡垒机实例才能访问云服务器ECS、专有网络VPC等云服务的资源,对服务器进行运维审计等操作。

    堡垒机服务关联角色介绍

    通过堡垒机进行运维时,堡垒机需要访问云服务器ECS和专有网络VPC等云服务的资源,您可通过系统自动创建的堡垒机服务关联角色AliyunServiceRoleForBastionhost获取访问权限。

    以下是堡垒机服务关联角色的介绍:

    • 角色名称:AliyunServiceRoleForBastionhost

    • 权限策略名称:AliyunServiceRolePolicyForBastionhost

      说明

      该权限策略为系统默认提供的策略,其策略名称和策略内容都不支持修改。

    • 权限策略示例:

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "rds:DescribeDBInstanceNetInfo",
                "rds:DescribeDBInstances",
                "rds:DescribeDBInstanceAttribute",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeZones",
                "ecs:DescribeRegions",
                "ecs:DescribeTags",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupReferences",
                "ecs:CreateSecurityGroup",
                "ecs:RevokeSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:ModifySecurityGroupPolicy",
                "ecs:ModifySecurityGroupRule",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission",
                "ecs:DetachNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcAttribute",
                "vpc:DescribeVSwitchAttributes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "bastionhost.aliyuncs.com"
                }
            }
        }
    ]
}

    删除服务关联角色

    如果不再需要使用堡垒机服务,您可以删除堡垒机服务关联角色AliyunServiceRoleForBastionhost。在删除服务关联角色前您需要先释放已有的堡垒机实例。在释放已有的堡垒机实例后,您可以参考以下步骤在RAM控制台删除堡垒机服务关联角色。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择身份管理 > 角色

    3. 角色页面,使用搜索功能定位到堡垒机服务关联角色AliyunServiceRoleForBastionhost,在操作列,单击删除角色

    4. 删除角色对话框,输入RAM角色名称,然后单击删除角色

    相关问题

    为什么我的RAM用户无法自动创建堡垒机服务关联角色AliyunServiceRoleForBastionhost?

    您需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForBastionhost。因此,在RAM用户无法自动创建AliyunServiceRoleForBastionhost时,您需为RAM用户添加以下权限策略。详细操作步骤指导,请参见为RAM角色授权

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "bastionhost.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}