本文介紹DDoS高防使用的普通服務角色的作用是什么,可以授權誰可以訪問其他哪些云資源。
功能概述
普通服務角色(Service Role)是一種可信實體為阿里云服務的RAM角色,旨在解決跨云服務的授權訪問問題。更多信息,請參見RAM角色概覽。
使用DDoS高防時,系統提供的普通服務角色及其包含的系統權限策略如下:
AliyunDDoSCOOLogArchiveRole
使用DDoS高防(中國內地)的全量日志分析時,會提示您創建普通服務角色AliyunDDoSCOOLogArchiveRole,并默認授予AliyunDDoSCOOLogArchiveRolePolicy系統權限策略。DDoS高防(中國內地)使用該角色訪問日志服務,將日志數據存儲到日志服務專屬日志庫。
AliyunDDosDipLogArchivingRole
使用DDoS高防(非中國內地)的全量日志分析時,會提示您創建普通服務角色AliyunDDosDipLogArchivingRole,并默認授予AliyunDDosDipLogArchivingRolePolicy系統權限策略。DDoS高防(非中國內地)使用該角色訪問日志服務,將日志數據存儲到日志服務專屬日志庫。
AliyunDDoSCOODefaultRole
使用DDoS高防時,會提示您創建普通服務角色AliyunDDoSCOODefaultRole,并默認授予AliyunDDoSCOORolePolicy系統權限策略。DDoS高防服務默認使用此角色來訪問您在其他云產品中的資源。
RAM用戶使用普通服務角色需要的權限
如果使用RAM用戶創建或刪除普通服務角色,必須使用阿里云賬號為該RAM用戶授權。
方式一:授予AliyunYundunHighFullAccess權限策略。
方式二:在自定義權限策略的
Action語句中為RAM用戶添加以下權限:創建普通服務角色:
ram:CreateRole刪除普通服務角色:
ram:DeleteRole
創建普通服務角色
DDoS高防的普通服務角色無需您手動創建,當您使用對應功能時,DDoS高防會自動提示您創建。
刪除普通服務角色
刪除普通服務角色后,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
查看普通服務角色
當普通服務角色創建成功后,您可以在RAM控制臺的角色頁面,通過搜索查看角色詳情。
基本信息
在角色詳情頁面的基本信息區域,查看角色基本信息,包括角色名稱、創建時間、角色ARN和備注等。
權限策略
在角色詳情頁面的權限管理頁簽,單擊權限策略名稱,查看權限策略內容以及該角色可授權訪問哪些云資源。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體用戶身份。普通服務角色的可信實體為云服務,您可以通過信任策略中的
Service字段查看。
關于如何查看普通服務角色的詳細操作,請參見查看RAM角色。