資源目錄中的RAM角色
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。
本文為您介紹在資源目錄中為管理賬號和成員自動創(chuàng)建的RAM角色。
總覽
資源目錄管理賬號和成員內(nèi)自動創(chuàng)建的RAM角色如下表所示。
賬號類型 | RAM角色名稱 | RAM角色類型 |
管理賬號 | 服務關(guān)聯(lián)角色 | |
成員 | 服務關(guān)聯(lián)角色 | |
可信實體為阿里云賬號的RAM角色 | ||
服務關(guān)聯(lián)角色 |
AliyunServiceRoleForResourceDirectory
應用場景
服務關(guān)聯(lián)角色(AliyunServiceRoleForResourceDirectory)用于為資源目錄可信服務提供訪問通道。資源目錄服務通過該服務關(guān)聯(lián)角色為可信服務創(chuàng)建服務關(guān)聯(lián)角色,使其可以獲取其他云服務的訪問權(quán)限。關(guān)于服務關(guān)聯(lián)角色的更多信息,請參見服務關(guān)聯(lián)角色。
權(quán)限策略
名稱:AliyunServiceRolePolicyForResourceDirectory
內(nèi)容:
{
"Version": "1",
"Statement": [
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}
]
}信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"resourcemanager.aliyuncs.com"
]
}
}
],
"Version": "1"
}創(chuàng)建角色
系統(tǒng)會在以下場景中自動創(chuàng)建服務關(guān)聯(lián)角色(AliyunServiceRoleForResourceDirectory):
資源目錄開通成功后,在管理賬號內(nèi)創(chuàng)建該服務關(guān)聯(lián)角色。
成員創(chuàng)建成功后,在成員內(nèi)創(chuàng)建該服務關(guān)聯(lián)角色。
被邀請賬號成功加入資源目錄后,在被邀請賬號內(nèi)創(chuàng)建該服務關(guān)聯(lián)角色。
刪除角色
刪除服務關(guān)聯(lián)角色后,依賴該角色的對應功能將無法正常使用,請慎重刪除。
系統(tǒng)會在以下場景中嘗試自動刪除服務關(guān)聯(lián)角色(AliyunServiceRoleForResourceDirectory):
關(guān)閉資源目錄時,系統(tǒng)將自動刪除管理賬號內(nèi)的該服務關(guān)聯(lián)角色。
從資源目錄中移除成員時,系統(tǒng)將自動刪除成員內(nèi)的該服務關(guān)聯(lián)角色。
當服務關(guān)聯(lián)角色(AliyunServiceRoleForResourceDirectory)沒有被任何云資源使用時,您也可以手動刪除該服務關(guān)聯(lián)角色。具體操作,請參見刪除RAM角色。
ResourceDirectoryAccountAccessRole
應用場景
RAM角色(ResourceDirectoryAccountAccessRole)用于資源目錄管理員登入成員進行相關(guān)管理操作,該角色中的可信實體為資源目錄管理賬號。
權(quán)限策略
名稱:AdministratorAccess
內(nèi)容:
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "1"
}信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::151266687691****:root" //151266687691****為管理賬號ID。
]
}
}
],
"Version": "1"
}創(chuàng)建角色
系統(tǒng)會在以下場景中自動在成員內(nèi)創(chuàng)建RAM角色(ResourceDirectoryAccountAccessRole):
成員創(chuàng)建成功后,在成員內(nèi)創(chuàng)建該RAM角色。
被邀請賬號成功加入資源目錄后,在被邀請賬號內(nèi)創(chuàng)建該RAM角色。
刪除角色
刪除RAM角色后,依賴該角色的對應功能將無法正常使用,請慎重刪除。
從資源目錄中移除成員時,系統(tǒng)將自動刪除成員內(nèi)的RAM角色(ResourceDirectoryAccountAccessRole)。
當RAM角色(ResourceDirectoryAccountAccessRole)下沒有任何授權(quán)時,您也可以手動刪除該服務關(guān)聯(lián)角色。具體操作,請參見刪除RAM角色。
AliyunServiceRoleFor***
應用場景
服務關(guān)聯(lián)角色(AliyunServiceRoleFor***)用于可信服務執(zhí)行預定任務,解決可信服務與資源目錄之間的跨服務訪問問題。關(guān)于服務關(guān)聯(lián)角色的更多信息,請參見服務關(guān)聯(lián)角色。
AliyunServiceRoleFor***中的***表示可信服務,例如:配置審計的服務關(guān)聯(lián)角色AliyunServiceRoleForConfig。
權(quán)限策略
權(quán)限策略由可信服務制定,一般包含以下兩類權(quán)限:
可信服務執(zhí)行預定任務所需的云服務操作權(quán)限。
可信服務刪除該服務關(guān)聯(lián)角色的權(quán)限。
信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"***.aliyuncs.com" //***表示可信服務,例如:config.aliyuncs.com。
]
}
}
],
"Version": "1"
}創(chuàng)建角色
啟用某個可信服務時,資源目錄通過服務關(guān)聯(lián)角色(AliyunServiceRoleForResourceDirectory)在成員中創(chuàng)建服務關(guān)聯(lián)角色(AliyunServiceRoleFor***)。
刪除角色
刪除服務關(guān)聯(lián)角色后,依賴該角色的對應功能將無法正常使用,請慎重刪除。
從資源目錄移除成員時,資源目錄會廣播該消息給可信服務,可信服務會自主決定是否自動刪除服務關(guān)聯(lián)角色(AliyunServiceRoleFor***)。一般情況下,可信服務會自動刪除該服務關(guān)聯(lián)角色。但某種特定情況下可能不會自動刪除,此時,您可以登入成員,嘗試手動刪除該服務關(guān)聯(lián)角色。具體操作,請參見刪除RAM角色。