日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 VPN網關 安全合規 使用RAM進行訪問控制 服務關聯角色 AliyunServiceRoleForVpn

AliyunServiceRoleForVpn

更新時間:
產品詳情
我的收藏

本文介紹服務關聯角色AliyunServiceRoleForVpn。在您創建第一個VPN網關實例或第一個IPsec連接(指IPsec連接綁定轉發路由器的場景)時,系統將自動創建AliyunServiceRoleForVpn,該服務關聯角色允許VPN網關對彈性網卡、安全組等資源進行操作,以便您可以成功創建VPN網關實例或IPsec連接。

背景信息

在某些場景下,一個云服務為了完成自身的某個功能,需要獲取其他云服務的訪問權限。例如:配置審計(Config)服務要讀取您的云資源信息,以獲取資源列表和變更歷史,就需要獲取ECS、RDS等產品的訪問權限。阿里云提供了服務關聯角色SLR(Service Linked Role)來滿足此類場景的需求。

服務關聯角色是一種可信實體為阿里云服務的RAM角色,旨在解決跨云服務的授權訪問問題。服務關聯角色是與某個云服務關聯的角色。多數情況下,在您使用特定功能時,關聯的云服務會自動創建或刪除服務關聯角色,不需要您主動創建或刪除。通過服務關聯角色可以更好地配置云服務正常操作所必需的權限,避免誤操作帶來的風險。

服務關聯角色的權限策略由關聯的云服務定義和使用,您不能修改或刪除權限策略,也不能為服務關聯角色添加或移除權限。

更多信息,請參見服務關聯角色

創建服務關聯角色AliyunServiceRoleForVpn

創建第一個VPN網關實例時或者第一個IPsec連接時(指IPsec連接綁定轉發路由器的場景),系統會自動創建服務關聯角色AliyunServiceRoleForVpn,以便您可以成功創建VPN網關實例或IPsec連接。如果您的賬號下已存在該服務關聯角色,系統則不會重復創建。

AliyunServiceRoleForVpn角色下包含名稱為AliyunServiceRolePolicyForVpn的權限策略,此權限策略包含了一系列允許VPN網關執行的操作。策略內容如下:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVSwitchAttributes",
        "vpc:TagResources",
        "vpc:DescribeRouteTableList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:JoinSecurityGroup",
        "ecs:LeaveSecurityGroup",
        "ecs:DescribeSecurityGroups",
        "ecs:AttachNetworkInterface",
        "ecs:DetachNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateSecurityGroupPermission",
        "ecs:AuthorizeSecurityGroupPermission",
        "ecs:RevokeSecurityGroupPermission",
        "ecs:JoinSecurityGroupPermission",
        "ecs:DeleteSecurityGroupPermission",
        "ecs:LeaveSecurityGroupPermission",
        "ecs:DescribeSecurityGroupPermissions",
        "ecs:AttachNetworkInterfacePermissions",
        "ecs:DetachNetworkInterfacePermissions",
        "ecs:AssignPrivateIpAddresses",
        "ecs:UnassignPrivateIpAddresses",
        "ecs:DescribeNetworkInterfaceAttribute"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpn.aliyuncs.com"
        }
      }
    }
  ]
}

刪除服務關聯角色AliyunServiceRoleForVpn

您的賬號下不存在VPN網關實例和IPsec連接時,才支持刪除服務關聯角色AliyunServiceRoleForVpn。具體操作,請參見:

  1. 刪除VPN網關實例

  2. 刪除IPsec連接

  3. 刪除服務關聯角色

常見問題

為什么我的RAM用戶(子賬號)無法創建服務關聯角色AliyunServiceRoleForVpn?

阿里云賬號(主賬號)默認擁有創建服務關聯角色AliyunServiceRoleForVpn的權限,RAM用戶(子賬號)必須擁有相應權限,才可以創建服務關聯角色AliyunServiceRoleForVpn。

您需要創建如下自定義權限策略,為RAM用戶(子賬號)授予創建服務關聯角色AliyunServiceRoleForVpn的權限。具體操作,請參見創建自定義權限策略為RAM角色授權

{
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "vpn.aliyuncs.com"
                }
            }
        }
    ],
    "Version": "1"
}