本文介绍如何通过云助手服务关联角色(AliyunServiceRoleForECSArchiving)授予云助手访问关联云资源的权限。
背景信息
云助手服务关联角色(AliyunServiceRoleForECSArchiving)是访问控制提供的一种服务关联角色,用于授权云助手访问关联云资源。通过AliyunServiceRoleForECSArchiving,云助手可以将运维任务执行记录或会话操作记录投递到您指定的对象存储OSS或日志服务SLS中,进行持久化存储。更多关于服务关联角色的信息,请参见服务关联角色。
AliyunServiceRoleForECSArchiving的权限策略
角色名称:AliyunServiceRoleForECSArchiving
角色权限策略:AliyunServiceRolePolicyForECSArchiving
策略内容如下所示:
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:PutObject",
"oss:GetBucketInfo",
"log:GetProject",
"log:GetLogStore",
"log:CreateLogStore",
"log:PostLogStoreLogs",
"log:GetIndex",
"log:CreateIndex",
"oss:GetObject"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "archiving.ecs.aliyuncs.com"
}
}
}
]
}创建AliyunServiceRoleForECSArchiving
在您使用运维任务执行记录或会话操作记录投递功能时,系统会检查当前账号是否存在AliyunServiceRoleForECSArchiving,如果不存在则自动创建。
AliyunServiceRoleForECSArchiving包含权限策略AliyunServiceRolePolicyForECSArchiving。服务关联角色包含的权限策略由对应的云服务定义和使用,您不能为服务关联角色添加、修改或删除权限。
删除AliyunServiceRoleForECSArchiving
如果您不再需要使用AliyunServiceRoleForECSArchiving,例如不需要长期保存运维任务执行记录或会话操作记录,可以手动删除AliyunServiceRoleForECSArchiving。具体操作,请参见删除RAM角色。
为避免误删AliyunServiceRoleForECSArchiving导致无法正常使用运维任务执行记录或会话操作记录投递功能,如果已经在任一地域下开启运维任务执行记录或会话操作记录投递功能,会删除失败并报错。您可以在报错信息中查看已经开启运维任务执行记录或会话操作记录投递功能的地域,再关闭该功能后再尝试删除。
关闭运维任务执行记录投递功能
在ECS云助手页面的右上角,单击操作内容与结果投递,在操作内容与结果投递对话框中,取消选中投递到日志服务SLS和投递到对象存储OSS,单击确定,即可关闭运维任务执行记录投递功能。
关闭会话操作记录投递功能
在ECS实例的远程连接页面,单击投递会话记录,在投递会话记录对话框中,取消选中投递到日志服务SLS和投递到对象存储OSS,单击确定,即可关闭会话操作记录投递功能。
常见问题
为什么RAM用户无法自动创建AliyunServiceRoleForECSArchiving?
如果您需要使用RAM用户登录操作,必须先使用阿里云账号为RAM用户授予指定的权限,然后才能自动创建AliyunServiceRoleForECSArchiving。具体操作,请参见为RAM用户授权。权限策略内容如下:
请将<account ID>替换为您阿里云账号的UID。
{
"Version": "1",
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:<account ID>:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
}
]
}