服務關聯角色SLR(Service-linked role)是一種可信實體為阿里云服務的RAM角色。云服務器ECS使用服務關聯角色獲取其他云服務或云資源的訪問權限。本文介紹云服務器ECS的服務關聯角色。
阿里云訪問控制為每個服務關聯角色提供了一個系統權限策略,該策略不支持修改。如果您想了解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。詳情請參見系統策略參考。
創建服務關聯角色
在使用云服務器ECS以下服務或功能時,系統會檢查當前賬號是否已有相關服務關聯角色,您可以授權系統自動創建服務關聯角色。
在您使用Workbench時,云服務器ECS會自動創建服務關聯角色AliyunServiceRoleForECSWorkbench。通過該服務關聯角色,Workbench可以獲得云服務器ECS、ECI等的訪問權限。
更多信息,請參見Workbench服務關聯角色。
您使用運維任務執行記錄或會話操作記錄投遞功能時,云服務器ECS會自動創建服務關聯角色AliyunServiceRoleForECSArchiving。用于授權云助手訪問關聯云資源。通過AliyunServiceRoleForECSArchiving,云助手可以將運維任務執行記錄或會話操作記錄投遞到您指定的對象存儲OSS或日志服務SLS中,進行持久化存儲。
更多信息,請參見管理云助手服務關聯角色。
在您使用塊存儲EBS時,云服務器ECS會自動創建服務關聯角色AliyunServiceRoleForEBS。通過該服務關聯角色,塊存儲EBS可以獲得云服務器ECS等的訪問權限。
更多信息,請參見塊存儲EBS服務關聯角色。
在您使用鏡像構建服務(ImageBuilder)時,云服務器ECS會自動創建服務關聯角色AliyunServiceRoleForECSImageBuilder。通過該服務關聯角色,鏡像構建服務可以獲得系統運維管理、云服務器ECS、專有網絡VPC等的訪問權限。
更多信息,請參見管理鏡像構建服務關聯角色。
在您創建供應組時,云服務器ECS會自動創建服務關聯角色AliyunServiceRoleForAutoProvisioning。用于為彈性供應服務獲取關聯云服務(例如云服務器ECS、專有網絡VPC、云數據庫RDS或云監控CMS服務等)的訪問權限。
更多信息,請參見管理彈性供應服務關聯角色。
在您創建診斷線路和發起診斷任務時,云服務器ECS會自動創建網絡連通性診斷服務關聯角色AliyunServiceRoleForECSNetworkInsights。通過該服務關聯角色,可以獲得創建診斷線路、發起診斷任務操作所需的訪問VPC資源的權限。
更多信息,請參見管理網絡連通性診斷服務關聯角色。
在您使用實例費用及安全行為審計診斷功能時,云服務器ECS會自動創建網絡連通性診斷服務關聯角色AliyunServiceRoleForECSSelfService,用于查詢ActionTrail來獲取用戶的歷史操作行為審計信息。
更多信息,請參見管理實例問題排查診斷服務的關聯角色。
刪除服務關聯角色
刪除服務關聯角色后,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用某個服務關聯角色時,您可以在RAM控制臺手動刪除服務關聯角色。
具體操作,請參見刪除服務關聯角色。
RAM用戶使用服務關聯角色需要的權限
如果使用RAM用戶創建或刪除服務關聯角色,必須聯系管理員為該RAM用戶授予管理員權限(AliyunECSFullAccess)或在自定義權限策略的Action語句中為RAM用戶添加以下權限:
創建服務關聯角色:
ram:CreateServiceLinkedRole刪除服務關聯角色:
ram:DeleteServiceLinkedRole
關于授權的詳細操作,請參見創建和刪除服務關聯角色所需的權限。