全部产品
Search
文档中心

VPN网关:AliyunServiceRoleForVpn

更新时间:Apr 16, 2024

本文介绍服务关联角色AliyunServiceRoleForVpn。在您创建第一个VPN网关实例或第一个IPsec连接(指IPsec连接绑定转发路由器的场景)时,系统将自动创建AliyunServiceRoleForVpn,该服务关联角色允许VPN网关对弹性网卡、安全组等资源进行操作,以便您可以成功创建VPN网关实例或IPsec连接。

背景信息

在某些场景下,一个云服务为了完成自身的某个功能,需要获取其他云服务的访问权限。例如:配置审计(Config)服务要读取您的云资源信息,以获取资源列表和变更历史,就需要获取ECS、RDS等产品的访问权限。阿里云提供了服务关联角色SLR(Service Linked Role)来满足此类场景的需求。

服务关联角色是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。服务关联角色是与某个云服务关联的角色。多数情况下,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好地配置云服务正常操作所必需的权限,避免误操作带来的风险。

服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。

更多信息,请参见服务关联角色

创建服务关联角色AliyunServiceRoleForVpn

创建第一个VPN网关实例时或者第一个IPsec连接时(指IPsec连接绑定转发路由器的场景),系统会自动创建服务关联角色AliyunServiceRoleForVpn,以便您可以成功创建VPN网关实例或IPsec连接。如果您的账号下已存在该服务关联角色,系统则不会重复创建。

AliyunServiceRoleForVpn角色下包含名称为AliyunServiceRolePolicyForVpn的权限策略,此权限策略包含了一系列允许VPN网关执行的操作。策略内容如下:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVSwitchAttributes",
        "vpc:TagResources",
        "vpc:DescribeRouteTableList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:JoinSecurityGroup",
        "ecs:LeaveSecurityGroup",
        "ecs:DescribeSecurityGroups",
        "ecs:AttachNetworkInterface",
        "ecs:DetachNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateSecurityGroupPermission",
        "ecs:AuthorizeSecurityGroupPermission",
        "ecs:RevokeSecurityGroupPermission",
        "ecs:JoinSecurityGroupPermission",
        "ecs:DeleteSecurityGroupPermission",
        "ecs:LeaveSecurityGroupPermission",
        "ecs:DescribeSecurityGroupPermissions",
        "ecs:AttachNetworkInterfacePermissions",
        "ecs:DetachNetworkInterfacePermissions",
        "ecs:AssignPrivateIpAddresses",
        "ecs:UnassignPrivateIpAddresses",
        "ecs:DescribeNetworkInterfaceAttribute"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpn.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色AliyunServiceRoleForVpn

您的账号下不存在VPN网关实例和IPsec连接时,才支持删除服务关联角色AliyunServiceRoleForVpn。具体操作,请参见:

  1. 删除VPN网关实例

  2. 删除IPsec连接

  3. 删除服务关联角色

常见问题

为什么我的RAM用户(子账号)无法创建服务关联角色AliyunServiceRoleForVpn?

阿里云账号(主账号)默认拥有创建服务关联角色AliyunServiceRoleForVpn的权限,RAM用户(子账号)必须拥有相应权限,才可以创建服务关联角色AliyunServiceRoleForVpn。

您需要创建如下自定义权限策略,为RAM用户(子账号)授予创建服务关联角色AliyunServiceRoleForVpn的权限。具体操作,请参见创建自定义权限策略为RAM角色授权

{
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "vpn.aliyuncs.com"
                }
            }
        }
    ],
    "Version": "1"
}