云治理中心提供了AliyunServiceRoleForGovernance、AliyunServiceRoleForGovernanceSetup、AliyunServiceRoleForGovernanceNetworkBlueprint和AliyunServiceRoleForGovernanceCloudNativeBlueprint四个服务关联角色。本文为您介绍如何创建、查看和删除这些服务关联角色。
概述
服务关联角色是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。云治理中心提供的服务关联角色如下表所示。
服务关联角色名称 | 云服务标识 | 权限策略名称 |
governance.aliyuncs.com | AliyunServiceRolePolicyForGovernance | |
setup.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceSetup | |
blueprint-network.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceNetworkBlueprint | |
blueprint-cloud-native.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceCloudNativeBlueprint |
更多信息,请参见服务关联角色。
AliyunServiceRoleForGovernance
应用场景
服务关联角色会创建在资源目录的管理账号内,应用场景如下:
当云治理中心协助您初始化资源结构时,需要通过服务关联角色开通资源目录、创建资源夹、创建成员和查询管理账号的财务结算关系等。
当云治理中心为您展示和管理资源目录结构时,需要通过服务关联角色获取实时的资源目录结构信息,完成删除资源夹和移动成员等操作。
创建服务关联角色
开通云治理中心时,会要求您创建该服务关联角色。更多信息,请参见开通云治理中心。
查看服务关联角色
当服务关联角色创建成功后,您可以登录管理账号,在RAM控制台的角色页面,通过搜索AliyunServiceRoleForGovernance查看该服务关联角色的以下信息:
基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
信任策略
在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
关于如何查看服务关联角色,请参见查看RAM角色。
删除服务关联角色
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。
当您长时间不使用云治理中心或者需要注销阿里云账号时,您可能需要手动删除服务关联角色。
AliyunServiceRoleForGovernanceSetup
应用场景
服务关联角色会创建在成员中,应用场景如下:
当云治理中心需要在资源目录的成员中进行配置时,例如:在日志账号内设置审计日志投递等,需要通过服务关联角色再创建一个专属于该任务的RAM角色,并授予相应的权限供云治理中心使用。
当您准备删除该服务关联角色时,云治理中心需要通过该服务关联角色查询当前账号所在的资源目录,确定是否可以删除。
创建服务关联角色
云治理中心在进行Landing Zone搭建时,会自动在所需成员中创建服务关联角色。
查看服务关联角色
当服务关联角色创建成功后,您可以访问成员,在RAM控制台的角色页面,通过搜索AliyunServiceRoleForGovernanceSetup查看该服务关联角色的以下信息:
基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
信任策略
在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
删除服务关联角色
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。
当您长时间不使用云治理中心或者需要注销阿里云账号时,您可能需要手动删除服务关联角色。
您需要先将成员从资源目录中移除,才能删除成员中的服务关联角色。
AliyunServiceRoleForGovernanceNetworkBlueprint
应用场景
服务关联角色会创建在成员中,应用场景如下:
当云治理中心需要在资源目录的成员中进行网络配置时,例如:在共享服务账号内配置云企业网等,需要通过服务关联角色开通云企业网、创建云企业网实例和配置路由规则等。
当您准备删除该服务关联角色时,云治理中心需要通过该服务关联角色查询当前成员所在的资源目录,确定是否可以删除。
创建服务关联角色
云治理中心在进行网络初始化配置时,会自动在对应成员中创建服务关联角色。
查看服务关联角色
当服务关联角色创建成功后,您可以访问成员,在RAM控制台的角色页面,通过搜索AliyunServiceRoleForGovernanceNetworkBlueprint查看该服务关联角色的以下信息:
基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
信任策略
在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
删除服务关联角色
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。
当您长时间不使用云治理中心或者需要注销阿里云账号时,您可能需要手动删除服务关联角色。
您需要先将成员从资源目录中移除,才能删除成员中的服务关联角色。
AliyunServiceRoleForGovernanceCloudNativeBlueprint
应用场景
服务关联角色会创建在成员中,应用场景如下:
当云治理中心需要在资源目录的成员中进行云原生配置时,例如:在共享服务账号内配置容器集群等,需要通过服务关联角色开通容器服务、创建容器集群等。
当您准备删除该服务关联角色时,云治理中心需要通过该服务关联角色查询当前成员所在的资源目录,确定是否可以删除。
创建服务关联角色
云治理中心在进行云原生初始化配置时,会自动在所需成员中创建服务关联角色。
查看服务关联角色
当服务关联角色创建成功后,您可以访问成员,在RAM控制台的角色页面,通过搜索AliyunServiceRoleForGovernanceCloudNativeBlueprint查看该服务关联角色的以下信息:
基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
信任策略
在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
删除服务关联角色
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。
当您长时间不使用云治理中心或者需要注销阿里云账号时,您可能需要手动删除服务关联角色。
您需要先将成员从资源目录中移除,才能删除成员中的服务关联角色。