本文為您介紹資源編排服務ROS(Resource Orchestration Service)的服務關聯角色(AliyunServiceRoleForROSStackGroupsRDAdmin和AliyunServiceRoleForROSStackGroupsRDMember)的應用場景、權限策略及相關操作。
應用場景
ROS服務關聯角色(AliyunServiceRoleForROSStackGroupsRDAdmin和AliyunServiceRoleForROSStackGroupsRDMember)是在使用具有服務管理權限模式的資源棧組情況下,為了獲取管理員賬號下的資源目錄賬號和對成員賬號部署資源棧,需要獲取其他云服務的訪問權限,而提供的RAM角色。
關于服務關聯角色的更多信息,請參見服務關聯角色。
權限說明
- AliyunServiceRoleForROSStackGroupsRDAdmin
權限策略:AliyunServiceRolePolicyForROSStackGroupsRDAdmin。
權限說明:ROS使用此角色來獲取資源目錄的賬號信息。
{ "Statement": [ { "Action": [ "resourcemanager:ListAccountsForParent", "resourcemanager:ListFoldersForParent", "resourcemanager:ListAncestors" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "acs:ram:*:*:role/stackgroups-exec-*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "stackgroups-admin.ros.aliyuncs.com" } } } ], "Version": "1" } - AliyunServiceRoleForROSStackGroupsRDMember
權限策略:AliyunServiceRolePolicyForROSStackGroupsRDMember。
權限內容:ROS使用此角色來動態創建
stackgroups-exec-開頭的RAM角色,并以此身份部署資源棧。{ "Statement": [ { "Action": [ "ram:CreateRole", "ram:GetRole", "ram:DeleteRole" ], "Effect": "Allow", "Resource": "acs:ram:*:*:role/stackgroups-exec-*" }, { "Action": [ "ram:AttachPolicyToRole", "ram:DetachPolicyFromRole" ], "Effect": "Allow", "Resource": [ "acs:ram:*:*:role/stackgroups-exec-*", "acs:ram:*:system:policy/AdministratorAccess" ] }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "stackgroups-member.ros.aliyuncs.com" } } } ], "Version": "1" }
創建服務關聯角色
管理員賬號在具有服務管理權限的資源棧組中,創建資源棧實例時,在管理員賬號下創建服務關聯角色AliyunServiceRoleForROSStackGroupsRDAdmin,以此身份獲取資源目錄下的賬號信息。在獲取到的所有成員賬號中創建服務關聯角色AliyunServiceRoleForROSStackGroupsRDMember,以此身份動態創建stackgroups-exec-開頭的普通RAM角色,并以此身份部署資源棧。stackgroups-exec-開頭的角色會在資源棧實例被成功刪除時刪除。
更多信息,請參見步驟三:創建資源棧組。