可信云服務可以通過RAM角色扮演的方式訪問其他云服務的資源。可信實體為阿里云服務的RAM角色分為兩種:普通服務角色和服務關聯角色。本文主要介紹服務關聯角色。
什么是服務關聯角色
在某些場景下,一個云服務為了完成自身的某個功能,需要獲取其他云服務的訪問權限。例如:配置審計(Config)服務要讀取您的云資源信息,以獲取資源列表和變更歷史,就需要獲取ECS、RDS等產品的訪問權限。阿里云提供了服務關聯角色SLR(Service Linked Role)來滿足此類場景的需求。
服務關聯角色是一種可信實體為阿里云服務的RAM角色,旨在解決跨云服務的授權訪問問題。服務關聯角色是與某個云服務關聯的角色。多數情況下,在您使用特定功能時,關聯的云服務會自動創建或刪除服務關聯角色,不需要您主動創建或刪除。通過服務關聯角色可以更好地配置云服務正常操作所必需的權限,避免誤操作帶來的風險。
服務關聯角色的權限策略由關聯的云服務定義和使用,您不能修改或刪除權限策略,也不能為服務關聯角色添加或移除權限。
創建服務關聯角色
某些云服務將在您執行某些特定操作(例如:創建一個云資源或開啟一個功能)時自動創建服務關聯角色,您可以在RAM控制臺的角色管理頁面、API或CLI調用ListRoles的返回結果中查看自動創建的服務關聯角色。
此外,您也可以主動創建服務關聯角色。具體操作,請參見創建服務關聯角色。
服務關聯角色會占用您的RAM角色配額。當RAM角色數量超限時,您仍然可以成功創建服務關聯角色,但無法創建其他類型的角色。
關于自動創建服務關聯角色的詳情,請參見對應云服務的文檔說明。
刪除服務關聯角色
某些云服務將在您執行某些特定操作(例如:刪除所有資源或關閉一個功能)時自動刪除已創建的服務關聯角色,但您也可以從控制臺主動刪除。關于主動刪除服務關聯角色,詳情請參見刪除RAM角色。
當您嘗試刪除一個服務關聯角色時,RAM會先檢查這個角色是否仍被云資源使用:
如果為否,您可以成功刪除該服務關聯角色。
如果為是,您暫不能刪除該服務關聯角色,但可以根據刪除失敗的提示信息,查看哪些云資源在使用該角色。您需要找到對應的云資源并手動清理這些云資源,然后再刪除該服務關聯角色。
關于刪除服務關聯角色的條件,請參見對應云服務的文檔說明。
創建和刪除服務關聯角色所需的權限
通過RAM用戶創建或刪除服務關聯角色時,RAM用戶必須具備對應權限。自動創建服務關聯角色的場景也需要具備對應權限。
以下將提供一個自定義權限策略示例,允許RAM用戶為資源管理(Resource Management)創建和刪除服務關聯角色。其中,ram:ServiceName的取值可以從支持服務關聯角色的云服務的云服務標識列獲取。
{
"Action": [
"ram:CreateServiceLinkedRole",
"ram:DeleteServiceLinkedRole"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}創建服務關聯角色的權限通常包含在其對應云服務的管理員權限策略(例如:AliyunESSFullAccess)中,因此RAM用戶如果具有該云服務的管理員權限,也可以為該云服務創建服務關聯角色。
使用服務關聯角色
服務關聯角色僅限關聯的對應云服務使用,其他身份(例如:RAM用戶、其他RAM角色)都無法扮演該角色。
您可以在已創建的服務關聯角色的信任策略管理頁簽中,通過Service字段查看可以使用該角色的云服務。
支持服務關聯角色的云服務
支持服務關聯角色的云服務,請參見支持服務關聯角色的云服務。
不支持服務關聯角色的云服務,請使用普通服務角色獲取其他云服務的訪問權限。