配置專有網絡訪問控制時,ACR會自動為您創建一個服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,便于ACR通過您的云解析PrivateZone自動進行域名解析。本文介紹該服務關聯角色基本信息、常見問題以及如何刪除該服務關聯角色。
背景信息
服務關聯角色是在某些情況下,為了完成ACR自身的某個功能,需要獲取其他云服務的訪問權限而提供的RAM角色。更多服務關聯角色的信息,請參見服務關聯角色。
應用場景
ACR的專有網絡訪問控制功能需要使用云解析PrivateZone為VPC域名設置DNS解析。創建專有網絡時,ACR會自動創建服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,ACR會通過該角色獲取訪問云解析PrivateZone內資源的權限。
角色介紹
角色名稱:AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone
角色權限策略:AliyunServiceRolePolicyForContainerRegistryAccessCustomerPrivate
角色權限說明:
{ "Action": [ "pvtz:AddZone", "pvtz:DeleteZone", "pvtz:BindZoneVpc", "pvtz:UpdateZoneRemark", "pvtz:SetProxyPattern", "pvtz:DescribeRegions", "pvtz:DescribeZoneInfo", "pvtz:DescribeZones", "pvtz:AddZoneRecord", "pvtz:DeleteZoneRecord", "pvtz:UpdateRecordRemark", "pvtz:DescribeZoneRecords" ], "Resource": "*", "Effect": "Allow" }
刪除角色
當您不需要使用專有網絡訪問控制功能時,您可以刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone角色。
刪除專有網絡。
刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone之前,您需要先刪除專有網絡。
登錄容器鏡像服務控制臺。
在左側導航欄,選擇實例列表。
在實例列表頁面單擊目標企業版實例。
在企業版實例管理頁面選擇。
在專有網絡頁簽下單擊專有網絡右側操作列下的刪除。
在彈出的對話框單擊確定。
使用阿里云賬號登錄RAM控制臺。
在控制臺左側導航欄選擇。
在角色頁面搜索框中搜索AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,然后單擊AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone右側操作列下的刪除角色。
在刪除角色的對話框中輸入角色名稱確認刪除操作,然后單擊確定。
FAQ
為什么RAM用戶無法自動創建服務關聯角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone?
您需要擁有指定的權限,才能自動創建或刪除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone。RAM用戶無法自動創建AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone時,您需為其添加以下權限策略。具體操作,請參見RAM授權信息。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:阿里云賬號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"access-customer-privatezone.cr.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}