AliyunServiceRoleForVpn
本文介紹服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn。在您創(chuàng)建第一個VPN網(wǎng)關(guān)實例或第一個IPsec連接(指IPsec連接綁定轉(zhuǎn)發(fā)路由器的場景)時,系統(tǒng)將自動創(chuàng)建AliyunServiceRoleForVpn,該服務(wù)關(guān)聯(lián)角色允許VPN網(wǎng)關(guān)對彈性網(wǎng)卡、安全組等資源進(jìn)行操作,以便您可以成功創(chuàng)建VPN網(wǎng)關(guān)實例或IPsec連接。
背景信息
在某些場景下,一個云服務(wù)為了完成自身的某個功能,需要獲取其他云服務(wù)的訪問權(quán)限。例如:配置審計(Config)服務(wù)要讀取您的云資源信息,以獲取資源列表和變更歷史,就需要獲取ECS、RDS等產(chǎn)品的訪問權(quán)限。阿里云提供了服務(wù)關(guān)聯(lián)角色SLR(Service Linked Role)來滿足此類場景的需求。
服務(wù)關(guān)聯(lián)角色是一種可信實體為阿里云服務(wù)的RAM角色,旨在解決跨云服務(wù)的授權(quán)訪問問題。服務(wù)關(guān)聯(lián)角色是與某個云服務(wù)關(guān)聯(lián)的角色。多數(shù)情況下,在您使用特定功能時,關(guān)聯(lián)的云服務(wù)會自動創(chuàng)建或刪除服務(wù)關(guān)聯(lián)角色,不需要您主動創(chuàng)建或刪除。通過服務(wù)關(guān)聯(lián)角色可以更好地配置云服務(wù)正常操作所必需的權(quán)限,避免誤操作帶來的風(fēng)險。
服務(wù)關(guān)聯(lián)角色的權(quán)限策略由關(guān)聯(lián)的云服務(wù)定義和使用,您不能修改或刪除權(quán)限策略,也不能為服務(wù)關(guān)聯(lián)角色添加或移除權(quán)限。
更多信息,請參見服務(wù)關(guān)聯(lián)角色。
創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn
創(chuàng)建第一個VPN網(wǎng)關(guān)實例時或者第一個IPsec連接時(指IPsec連接綁定轉(zhuǎn)發(fā)路由器的場景),系統(tǒng)會自動創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn,以便您可以成功創(chuàng)建VPN網(wǎng)關(guān)實例或IPsec連接。如果您的賬號下已存在該服務(wù)關(guān)聯(lián)角色,系統(tǒng)則不會重復(fù)創(chuàng)建。
創(chuàng)建VPN網(wǎng)關(guān)實例的操作,請參見創(chuàng)建和管理VPN網(wǎng)關(guān)實例。
創(chuàng)建IPsec連接的操作,請參見創(chuàng)建IPsec連接或創(chuàng)建VPN連接。
AliyunServiceRoleForVpn角色下包含名稱為AliyunServiceRolePolicyForVpn的權(quán)限策略,此權(quán)限策略包含了一系列允許VPN網(wǎng)關(guān)執(zhí)行的操作。策略內(nèi)容如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"vpc:DescribeVSwitchAttributes",
"vpc:TagResources",
"vpc:DescribeRouteTableList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:CreateNetworkInterface",
"ecs:CreateSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:RevokeSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:JoinSecurityGroup",
"ecs:LeaveSecurityGroup",
"ecs:DescribeSecurityGroups",
"ecs:AttachNetworkInterface",
"ecs:DetachNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:CreateNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateSecurityGroupPermission",
"ecs:AuthorizeSecurityGroupPermission",
"ecs:RevokeSecurityGroupPermission",
"ecs:JoinSecurityGroupPermission",
"ecs:DeleteSecurityGroupPermission",
"ecs:LeaveSecurityGroupPermission",
"ecs:DescribeSecurityGroupPermissions",
"ecs:AttachNetworkInterfacePermissions",
"ecs:DetachNetworkInterfacePermissions",
"ecs:AssignPrivateIpAddresses",
"ecs:UnassignPrivateIpAddresses",
"ecs:DescribeNetworkInterfaceAttribute"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "vpn.aliyuncs.com"
}
}
}
]
}刪除服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn
您的賬號下不存在VPN網(wǎng)關(guān)實例和IPsec連接時,方可刪除服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn。具體操作,請參見:
常見問題
為什么我的RAM用戶(子賬號)無法創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn?
阿里云賬號(主賬號)默認(rèn)擁有創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn的權(quán)限,RAM用戶(子賬號)必須擁有相應(yīng)權(quán)限,才可以創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn。
您需要創(chuàng)建如下自定義權(quán)限策略,為RAM用戶(子賬號)授予創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn的權(quán)限。具體操作,請參見創(chuàng)建自定義權(quán)限策略和為RAM角色授權(quán)。
{
"Statement": [
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "vpn.aliyuncs.com"
}
}
}
],
"Version": "1"
}