如果您的阿里云賬號(主賬號)不存在服務關聯角色AliyunServiceRoleForGaSsl,您在為全球加速實例配置HTTPS協議的監聽時,系統會自動創建服務關聯角色AliyunServiceRoleForGaSsl。
AliyunServiceRoleForGaSsl簡介
AliyunServiceRoleForGaSsl是全球加速的一種服務關聯角色SLR(Service Linked Role),在為全球加速實例配置HTTPS協議的監聽時,全球加速需要擁有該服務關聯角色才能為HTTPS協議監聽綁定SSL證書。
創建服務關聯角色AliyunServiceRoleForGaSsl所需的權限
阿里云賬號(主賬號)默認擁有創建服務關聯角色AliyunServiceRoleForGaSsl的權限,RAM用戶(子賬號)必須擁有以下權限,才可以創建服務關聯角色AliyunServiceRoleForGaSsl:
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ssl.ga.aliyuncs.com"
}
}
}您可以通過以下兩種方式為RAM用戶(子賬號)授予創建AliyunServiceRoleForGaSsl所需的權限:
為RAM用戶(子賬號)添加管理員權限策略AliyunGlobalAccelerationFullAccess。詳細信息,請參見為RAM角色授權。
說明創建全球加速服務關聯角色AliyunServiceRoleForGaSsl的權限通常包含在管理員權限策略AliyunGlobalAccelerationFullAccess中,因此只要擁有全球加速的管理員權限,就可以為全球加速創建服務關聯角色AliyunServiceRoleForGaSsl。
添加自定義權限策略,并為RAM用戶(子賬號)授權。自定義權限策略包含以下權限:
{ "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "ssl.ga.aliyuncs.com" } } }
創建服務關聯角色AliyunServiceRoleForGaSsl
您在為全球加速實例配置HTTPS協議的監聽時,系統會判斷全球加速是否擁有服務關聯角色AliyunServiceRoleForGaSsl:
如果全球加速不存在服務關聯角色AliyunServiceRoleForGaSsl,系統會自動創建該服務關聯角色,并為該服務關聯角色添加名稱為AliyunServiceRoleForGaSsl的權限策略,授予全球加速擁有訪問SSL證書的權限,策略內容如下:
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "yundun-cert:GetUserCertificateDetail" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "ssl.ga.aliyuncs.com" } } } ] }如果全球加速已經擁有服務關聯角色AliyunServiceRoleForGaSsl,則不會重復創建該服務關聯角色。
刪除服務關聯角色AliyunServiceRoleForGaSsl
系統不會自動刪除全球加速的服務關聯角色AliyunServiceRoleForGaSsl,如果您要刪除該服務關聯角色,請先刪除全球加速實例的HTTPS協議監聽,然后再刪除服務關聯角色AliyunServiceRoleForGaSsl。具體操作,請參見: