服務(wù)關(guān)聯(lián)角色
云備份使用服務(wù)關(guān)聯(lián)角色獲取云服務(wù)器ECS、專有網(wǎng)絡(luò)VPC、對(duì)象存儲(chǔ)OSS、文件存儲(chǔ)NAS等資源的訪問權(quán)限。通常情況下,服務(wù)關(guān)聯(lián)角色是在您開啟某項(xiàng)備份功能、創(chuàng)建備份計(jì)劃或者為數(shù)據(jù)源關(guān)聯(lián)備份策略時(shí)時(shí),由云備份自動(dòng)創(chuàng)建。在自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色失敗或云備份不支持自動(dòng)創(chuàng)建時(shí),您需要手動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色。
背景信息
服務(wù)關(guān)聯(lián)角色是一種可信實(shí)體為阿里云服務(wù)的RAM角色。云備份使用服務(wù)關(guān)聯(lián)角色獲取其他云服務(wù)或云資源的訪問權(quán)限。
通常情況下,服務(wù)關(guān)聯(lián)角色是在您執(zhí)行某項(xiàng)操作時(shí),由系統(tǒng)自動(dòng)創(chuàng)建。在自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色失敗或云備份不支持自動(dòng)創(chuàng)建時(shí),您需要手動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色。
阿里云訪問控制為每個(gè)服務(wù)關(guān)聯(lián)角色提供了一個(gè)系統(tǒng)權(quán)限策略,該策略不支持修改。如果您想了解該系統(tǒng)策略的具體內(nèi)容,可前往指定服務(wù)關(guān)聯(lián)角色的詳情頁(yè)面查看。詳情請(qǐng)參見云備份系統(tǒng)權(quán)限策略參考。
應(yīng)用場(chǎng)景
云備份會(huì)在以下場(chǎng)景中,為您自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色。
在您開啟某項(xiàng)備份功能、創(chuàng)建備份計(jì)劃或?yàn)閿?shù)據(jù)源綁定備份策略時(shí),自動(dòng)為您創(chuàng)建服務(wù)關(guān)聯(lián)角色。
AliyunServiceRoleForHbrEcsBackup
在您使用ECS備份功能時(shí),云備份自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrEcsBackup獲取訪問云服務(wù)器ECS和專有網(wǎng)絡(luò)VPC的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,ECS備份功能可以獲得云服務(wù)器ECS和專有網(wǎng)絡(luò)VPC等訪問權(quán)限。
AliyunServiceRoleForHbrOssBackup
在您使用OSS備份功能時(shí),云備份自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrOssBackup獲取訪問對(duì)象存儲(chǔ)OSS云服務(wù)的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,OSS備份功能可以獲得對(duì)象存儲(chǔ)OSS的訪問權(quán)限。
AliyunServiceRoleForHbrNasBackup
在您使用NAS備份功能時(shí),云備份自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrNasBackup獲取訪問文件存儲(chǔ)NAS云服務(wù)的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,NAS備份功能可以獲得文件存儲(chǔ)NAS的訪問權(quán)限。
AliyunServiceRoleForHbrCsgBackup
在您使用云存儲(chǔ)網(wǎng)關(guān)備份功能時(shí),云備份自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrCsgBackup獲取訪問云存儲(chǔ)網(wǎng)關(guān)云服務(wù)的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,CSG備份功能可以獲得云存儲(chǔ)網(wǎng)關(guān)CSG的訪問權(quán)限。
AliyunServiceRoleForHbrVaultEncryption
在您使用KMS密鑰加密備份庫(kù)功能時(shí),云備份自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrVaultEncryption獲取訪問密鑰管理服務(wù)KMS云服務(wù)的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,加密備份庫(kù)功能可以獲得密鑰管理服務(wù)KMS的訪問權(quán)限。
AliyunServiceRoleForHbrOtsBackup
在您使用表格存儲(chǔ)備份庫(kù)功能時(shí),云備份自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrOtsBackup獲取訪問表格存儲(chǔ)云服務(wù)的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,表格存儲(chǔ)備份功能可以獲得表格存儲(chǔ)的訪問權(quán)限。
AliyunServiceRoleForHbrCrossAccountBackup
在您使用跨賬號(hào)備份功能時(shí),云備份自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrCrossAccountBackup獲取訪問您在其他云產(chǎn)品中的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,跨賬號(hào)備份功能可以獲得您在其他云產(chǎn)品中資源的訪問權(quán)限。
AliyunServiceRoleForHbrEcsEncryption
在您使用ECS整機(jī)備份功能開啟異地復(fù)制需要指定異地加密的KMS密鑰時(shí),云備份自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrEcsEncryption獲取訪問您在密鑰管理服務(wù)KMS的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,此功能可以獲得密鑰管理服務(wù)KMS的訪問權(quán)限。
AliyunServiceRoleForHbrMagpieBridge
在您使用ECS文件備份和本地文件備份功能時(shí),云備份將根據(jù)備份客戶端通信方式自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForHbrMagpieBridge獲取訪問您云備份服務(wù)的資源權(quán)限。通過該服務(wù)關(guān)聯(lián)角色,備份客戶端可以獲得云備份服務(wù)的訪問權(quán)限。
權(quán)限說明
云備份服務(wù)關(guān)聯(lián)角色的權(quán)限內(nèi)容如下:
{ "Action": [ "ecs:RunCommand", "ecs:CreateCommand", "ecs:InvokeCommand", "ecs:DeleteCommand", "ecs:DescribeCommands", "ecs:StopInvocation", "ecs:DescribeInvocationResults", "ecs:DescribeCloudAssistantStatus", "ecs:DescribeInstances", "ecs:DescribeInstanceRamRole", "ecs:DescribeInvocations" "vpc:DescribeVpcs", "vpc:DescribeVSwitches" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ecs:AttachInstanceRamRole", "ecs:DetachInstanceRamRole" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ram:*:*:role/aliyunecsaccessinghbrrole" ], "Effect": "Allow" }, { "Action": [ "ram:GetRole", "ram:GetPolicy", "ram:ListPoliciesForRole" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ram:PassRole" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "acs:Service": [ "ecs.aliyuncs.com" ] } } }, { "Action": [ "ecs:DescribeSecurityGroups", "ecs:DescribeImages", "ecs:CreateImage", "ecs:DeleteImage", "ecs:DescribeSnapshots", "ecs:CreateSnapshot", "ecs:DeleteSnapshot", "ecs:DescribeSnapshotLinks", "ecs:DescribeAvailableResource", "ecs:ModifyInstanceAttribute", "ecs:CreateInstance", "ecs:DeleteInstance", "ecs:AllocatePublicIpAddress", "ecs:CreateDisk", "ecs:DescribeDisks", "ecs:AttachDisk", "ecs:DetachDisk", "ecs:DeleteDisk", "ecs:ResetDisk", "ecs:StartInstance", "ecs:StopInstance", "ecs:ReplaceSystemDisk", "ecs:ModifyResourceMeta" ], "Resource": "*", "Effect": "Allow" }{ "Action": [ "oss:ListObjects", "oss:HeadBucket", "oss:GetBucket", "oss:GetBucketAcl", "oss:GetBucketLocation", "oss:GetBucketInfo", "oss:PutObject", "oss:CopyObject", "oss:GetObject", "oss:AppendObject", "oss:GetObjectMeta", "oss:PutObjectACL", "oss:GetObjectACL", "oss:PutObjectTagging", "oss:GetObjectTagging", "oss:InitiateMultipartUpload", "oss:UploadPart", "oss:UploadPartCopy", "oss:CompleteMultipartUpload", "oss:AbortMultipartUpload", "oss:ListMultipartUploads", "oss:ListParts" ], "Resource": "*", "Effect": "Allow" }{ "Action": [ "nas:DescribeFileSystems", "nas:CreateMountTargetSpecial", "nas:DeleteMountTargetSpecial", "nas:CreateMountTarget", "nas:DeleteMountTarget", "nas:DescribeMountTargets", "nas:DescribeAccessGroups" ], "Resource": "*", "Effect": "Allow" }{ "Action": [ "hcs-sgw:DescribeGateways" ], "Resource": "*", "Effect": "Allow" }{ "Statement": [ { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "vaultencryption.hbr.aliyuncs.com" } } }, { "Action": [ "kms:Decrypt" ], "Resource": "*", "Effect": "Allow" } ], "Version": "1" }{ "Version": "1", "Statement": [ { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "otsbackup.hbr.aliyuncs.com" } } }, { "Effect": "Allow", "Action": [ "ots:ListTable", "ots:CreateTable", "ots:UpdateTable", "ots:DescribeTable", "ots:BatchWriteRow", "ots:CreateTunnel", "ots:DeleteTunnel", "ots:ListTunnel", "ots:DescribeTunnel", "ots:ConsumeTunnel", "ots:GetRange", "ots:ListStream", "ots:DescribeStream" ], "Resource": "*" } ] }{ "Version": "1", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "crossbackup.hbr.aliyuncs.com" } } } ] }{ "Version": "1", "Statement": [ { "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Effect": "Allow", "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "ecsencryption.hbr.aliyuncs.com" } } } ] }{ "Version": "1", "Statement": [ { "Action": [ "hbr:ClientSendMessage", "hbr:ClientReceiveMessage" ], "Resource": "acs:hbr:*:*:messageClient/*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "magpiebridge.hbr.aliyuncs.com" } } } ] }
RAM用戶使用服務(wù)關(guān)聯(lián)角色需要的權(quán)限
如果使用RAM用戶創(chuàng)建或刪除服務(wù)關(guān)聯(lián)角色,必須聯(lián)系管理員為該RAM用戶授予管理員權(quán)限(AliyunHBRFullAccess)或在自定義權(quán)限策略的Action語(yǔ)句中為RAM用戶添加以下權(quán)限:
創(chuàng)建服務(wù)關(guān)聯(lián)角色:
ram:CreateServiceLinkedRole刪除服務(wù)關(guān)聯(lián)角色:
ram:DeleteServiceLinkedRole
關(guān)于授權(quán)的詳細(xì)操作,請(qǐng)參見創(chuàng)建和刪除服務(wù)關(guān)聯(lián)角色所需的權(quán)限。
查看服務(wù)關(guān)聯(lián)角色
當(dāng)服務(wù)關(guān)聯(lián)角色創(chuàng)建成功后,您可以在RAM控制臺(tái)的角色頁(yè)面,查看該服務(wù)關(guān)聯(lián)角色的以下信息:
基本信息
在服務(wù)關(guān)聯(lián)角色詳情頁(yè)面的基本信息區(qū)域,查看角色基本信息,包括角色名稱、創(chuàng)建時(shí)間、角色ARN和備注等。
權(quán)限策略
在服務(wù)關(guān)聯(lián)角色詳情頁(yè)面的權(quán)限管理頁(yè)簽,單擊權(quán)限策略名稱,查看權(quán)限策略內(nèi)容以及該角色可授權(quán)訪問哪些云資源。
信任策略
在服務(wù)關(guān)聯(lián)角色詳情頁(yè)的信任策略管理頁(yè)簽,查看信任策略內(nèi)容。信任策略是描述RAM角色可信實(shí)體的策略,可信實(shí)體是指可以扮演RAM角色的實(shí)體用戶身份。服務(wù)關(guān)聯(lián)角色的可信實(shí)體為云服務(wù),您可以通過信任策略中的
Service字段查看。
關(guān)于如何查看服務(wù)關(guān)聯(lián)角色的詳細(xì)操作,請(qǐng)參見查看RAM角色。
刪除服務(wù)關(guān)聯(lián)角色
假設(shè)您已不再使用ECS備份功能,出于安全考慮,建議您刪除該功能所使用的服務(wù)關(guān)聯(lián)角色。
刪除服務(wù)關(guān)聯(lián)角色后,依賴該角色的對(duì)應(yīng)功能將無法正常使用,請(qǐng)謹(jǐn)慎刪除。
刪除AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup和AliyunServiceRoleForHbrCsgBackup等角色前,請(qǐng)確保當(dāng)前賬號(hào)下沒有備份倉(cāng)庫(kù),否則刪除失敗。
刪除AliyunServiceRoleForHbrVaultEncryption前,請(qǐng)確保當(dāng)前賬號(hào)下沒有使用KMS加密的備份倉(cāng)庫(kù),否則刪除失敗。
刪除AliyunServiceRoleForHbrMagpieBridge前,請(qǐng)確保當(dāng)前賬號(hào)下已卸載ECS文件備份客戶端和本地文件客戶端,否則刪除失敗。
例如,刪除AliyunServiceRoleForHbrEcsBackup的操作步驟如下:
登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄中選擇身份管理>角色。
在角色管理頁(yè)面的搜索框中,輸入AliyunServiceRoleForHbrEcsBackup,自動(dòng)搜索到名稱為AliyunServiceRoleForHbrEcsBackup的RAM角色。
在右側(cè)操作列,單擊刪除角色。
在刪除角色對(duì)話框,再次輸入角色名稱,然后單擊刪除角色。
具體操作,請(qǐng)參見刪除RAM角色。
刪除AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup和AliyunServiceRoleForHbrCsgBackup、AliyunServiceRoleForHbrVaultEncryption、AliyunServiceRoleForHbrEcsEncryption、AliyunServiceRoleForHbrMagpieBridge等服務(wù)關(guān)聯(lián)角色與刪除AliyunServiceRoleForHbrEcsBackup服務(wù)關(guān)聯(lián)角色步驟類似,僅需替換為對(duì)應(yīng)的RAM角色即可。