服務關聯角色是某個云服務在某些情況下,為了完成自身的某個功能,需要獲取其他云服務的訪問權限而提供的RAM角色。通常情況下,服務關聯角色是在您執行某項操作時,由系統自動創建。在自動創建服務關聯角色失敗或云消息隊列 RocketMQ 版不支持自動創建時,您需要手動創建服務關聯角色。
背景信息
阿里云訪問控制為每個服務關聯角色提供了一個系統權限策略,該策略不支持修改。如果您想了解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。具體信息,請參見系統策略參考。
支持的服務關聯角色
云消息隊列 RocketMQ 版提供以下服務關聯角色,系統將會在您首次使用相關功能時,自動創建對應的服務關聯角色。
例如,您首次使用云消息隊列 RocketMQ 版儀表盤功能時,系統會自動創建AliyunServiceRoleForOns服務關聯角色。
角色名稱 | 角色權限策略 | 角色權限 |
AliyunServiceRoleForOns | AliyunServiceRolePolicyForOns | 云消息隊列 RocketMQ 版通過扮演該RAM角色,可獲得如下權限: |
AliyunServiceRoleForRMQMigration | AliyunServiceRolePolicyForRMQMigration | 云消息隊列 RocketMQ 版通過扮演該RAM角色,獲取訪問專有網絡VPC的權限,以實現自建RocketMQ集群遷移上云的功能。 |
AliyunServiceRoleForRMQDisasterRecovery | AliyunServiceRolePolicyForRMQDisasterRecovery | 云消息隊列 RocketMQ 版通過扮演該RAM角色,獲取訪問事件總線EventBridge的權限,以實現全球消息備份的功能。 |
AliyunServiceRoleForRMQ | AliyunServiceRolePolicyForRMQ | 云消息隊列 RocketMQ 版5.x系列默認策略。如果您創建云消息隊列 RocketMQ 版5.x系列實例時,系統會為您完成AliyunServiceRolePolicyForRMQ的自動創建。 |
策略內容
AliyunServiceRoleForOns
服務關聯角色AliyunServiceRoleForOns被授予的權限策略AliyunServiceRolePolicyForOns的策略內容如下:
{ "Version": "1", "Statement": [ { "Action": [ "cms:DescribeMetricRuleList", "cms:DescribeMetricList", "cms:DescribeMetricData" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "arms:OpenVCluster", "arms:ListDashboards", "arms:CheckServiceStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "ons.aliyuncs.com" } } } ] }AliyunServiceRoleForRMQMigration
服務關聯角色AliyunServiceRoleForRMQMigration被授予的權限策略AliyunServiceRolePolicyForRMQMigration的策略內容如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "privatelink:CreateVpcEndpoint", "privatelink:ListVpcEndpoints", "privatelink:GetVpcEndpointAttribute", "privatelink:AddZoneToVpcEndpoint", "privatelink:ListVpcEndpointZones", "privatelink:RemoveZoneFromVpcEndpoint", "privatelink:DeleteVpcEndpoint", "privatelink:AttachSecurityGroupToVpcEndpoint", "privatelink:ListVpcEndpointSecurityGroups", "privatelink:DetachSecurityGroupFromVpcEndpoint" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "migration.rmq.aliyuncs.com" } } }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "privatelink.aliyuncs.com" } } } ] }AliyunServiceRoleForRMQDisasterRecovery
服務關聯角色AliyunServiceRoleForRMQDisasterRecovery被授予的權限策略AliyunServiceRolePolicyForRMQDisasterRecovery的策略內容如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "eventbridge:ListEventStreamings", "eventbridge:DeleteEventStreaming", "eventbridge:CreateEventStreaming", "eventbridge:StartEventStreaming", "eventbridge:UpdateEventStreaming", "eventbridge:PauseEventStreaming", "eventbridge:GetEventStreaming", "Ecs:DescribeSecurityGroups" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "disaster-recovery.rmq.aliyuncs.com" } } } ] }AliyunServiceRoleForRMQ
服務關聯角色AliyunServiceRoleForRMQ被授予的權限策略AliyunServiceRolePolicyForRMQ的策略內容如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "privatelink:CreateVpcEndpoint", "privatelink:ListVpcEndpoints", "privatelink:GetVpcEndpointAttribute", "privatelink:AddZoneToVpcEndpoint", "privatelink:ListVpcEndpointZones", "privatelink:RemoveZoneFromVpcEndpoint", "privatelink:DeleteVpcEndpoint", "privatelink:AttachSecurityGroupToVpcEndpoint", "privatelink:ListVpcEndpointSecurityGroups", "privatelink:DetachSecurityGroupFromVpcEndpoint", "privatelink:UpdateVpcEndpointZoneConnectionResourceAttribute", "Ecs:CreateSecurityGroup", "Ecs:DeleteSecurityGroup", "Ecs:DescribeSecurityGroupAttribute", "Ecs:DescribeSecurityGroups", "kms:DescribeRegions", "kms:GetKmsInstance", "kms:ListKeys", "kms:ListAliases", "kms:ListResourceTags", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": "*" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rocketmq:instance-encryption": "true" } } }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "rmq.aliyuncs.com" } } }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "privatelink.aliyuncs.com" } } } ] }
查看服務關聯角色
當服務關聯角色創建成功后,您可以在RAM控制臺的角色頁面查看該服務關聯角色的以下信息:
基本信息
在角色詳情頁面的基本信息區域,查看角色基本信息,包括角色名稱、創建時間、角色ARN和備注等。
權限策略
在角色詳情頁的權限管理頁簽,單擊權限策略名稱,查看權限策略內容。
說明您只能通過服務關聯角色,查看其關聯的權限策略內容,不能在RAM控制臺的權限策略頁面直接查看該權限策略。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體用戶身份。服務關聯角色的可信實體為云服務,您可以通過信任策略中的
Service字段查看。
關于如何查看服務關聯角色,請參見查看RAM角色。
刪除服務關聯角色
刪除服務關聯角色后,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用云安全中心或者需要注銷阿里云賬號前,您可能需要在訪問控制管理控制臺手動刪除服務關聯角色。具體操作,請參見刪除RAM角色。
常見問題
為什么我的RAM用戶無法自動創建云消息隊列 RocketMQ 版服務關聯角色AliyunServiceRoleForOns?
如果阿里云賬號已經創建了服務關聯角色,RAM用戶就會繼承該阿里云賬號的服務關聯角色。如果沒有繼承,請登錄RAM控制臺為其添加以下權限策略。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:阿里云賬號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ons.aliyuncs.com"
}
}
}
],
"Version": "1"
}請將阿里云賬號ID替換為您實際的阿里云賬號ID。
如果您的RAM用戶被授予該權限策略后,仍然無法自動創建服務關聯角色,請為該RAM用戶授予以下任一系統權限策略:
AliyunMQFullAccess
AliyunMQReadOnlyAccess
具體信息,請參見系統權限策略。