Topik ini menjelaskan informasi latar belakang, kebijakan, dan pertimbangan tambahan untuk peran terkait layanan ApsaraMQ for Kafka. Topik ini juga memberikan jawaban atas pertanyaan yang sering diajukan tentang peran-peran tersebut.
Informasi latar belakang
Layanan Alibaba Cloud mungkin memerlukan akses ke layanan lainnya untuk mengimplementasikan fitur tertentu. Dalam hal ini, layanan Alibaba Cloud harus mengasumsikan peran terkait layanan yang sesuai untuk mendapatkan izin yang diperlukan. Peran terkait layanan adalah bagian dari Peran RAM (Resource Access Management). Saat pertama kali menggunakan fitur di konsol layanan Alibaba Cloud, sistem secara otomatis membuat peran terkait layanan dan memberi tahu Anda bahwa peran tersebut telah dibuat. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.
ApsaraMQ for Kafka dapat mengasumsikan peran terkait layanan berikut:
- AliyunServiceRoleForAlikafka: ApsaraMQ for Kafka mengasumsikan peran ini untuk mengakses layanan Alibaba Cloud lainnya. Saat pertama kali mengaktifkan ApsaraMQ for Kafka di konsol ApsaraMQ for Kafka, sistem secara otomatis membuat peran AliyunServiceRoleForAlikafka dan memberi tahu Anda bahwa peran tersebut telah dibuat.
AliyunServiceRoleForAlikafkaConnector: ApsaraMQ for Kafka mengasumsikan peran ini untuk mendapatkan izin akses pada layanan tempat konektor dapat terhubung. Dengan cara ini, Message Queue for Apache Kafka mengimplementasikan fitur konektor. Saat pertama kali membuat konektor di konsol ApsaraMQ for Kafka, sistem secara otomatis membuat peran AliyunServiceRoleForAlikafkaConnector dan memberi tahu Anda bahwa peran tersebut telah dibuat. Untuk informasi lebih lanjut, lihat Buat Konektor Sink Function Compute.
- AliyunServiceRoleForAlikafkaInstanceEncryption: ApsaraMQ for Kafka mengasumsikan peran ini untuk mendapatkan izin mengakses Key Management Service (KMS) dan menggunakan fitur enkripsi yang disediakan oleh KMS. Dengan cara ini, instance Message Queue for Apache Kafka Anda dapat menggunakan fitur enkripsi. Fitur enkripsi instance hanya dapat digunakan dengan memanggil operasi API. Fitur ini akan tersedia di konsol dalam versi mendatang. Saat pertama kali menyebarkan instance dengan enkripsi disk yang diaktifkan melalui pemanggilan operasi StartInstance yang disediakan di ApsaraMQ for Kafka, sistem secara otomatis membuat peran AliyunServiceRoleForAlikafkaInstanceEncryption untuk akun Anda.
- AliyunServiceRoleForAlikafkaETL: ApsaraMQ for Kafka mengasumsikan peran ini untuk membuat tugas ekstraksi, transformasi, dan pemuatan (ETL) guna melakukan analisis data. Saat pertama kali mengaktifkan fitur ETL di konsol ApsaraMQ for Kafka, sistem secara otomatis membuat peran AliyunServiceRoleForAlikafkaETL dan memberi tahu Anda bahwa peran tersebut telah dibuat. Untuk informasi lebih lanjut, lihat Kelola Tugas ETL.
Kebijakan
- Kebijakan berikut dilampirkan pada peran AliyunServiceRoleForAlikafka:
{ "Version": "1", "Statement": [ { "Action": [ "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission", "ecs:CreateSecurityGroup", "ecs:AuthorizeSecurityGroup", "ecs:DescribeSecurityGroupAttribute", "ecs:RevokeSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:DescribeSecurityGroups" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:DescribeVSwitches", "vpc:DescribeVpcs" ], "Resource": "*", "Effect": "Allow" }, { "Effect": "Allow", "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "ram:ServiceName": "alikafka.aliyuncs.com" } } } ] } - Kebijakan berikut dilampirkan pada peran AliyunServiceRoleForAlikafkaConnector:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "fc:InvokeFunction", "fc:GetFunction", "fc:ListServices", "fc:ListFunctions", "fc:ListServiceVersions", "fc:ListAliases", "fc:CreateService", "fc:DeleteService", "fc:CreateFunction", "fc:DeleteFunction", "fc:CreateLayerVersion", "fc:ListLayers" ], "Resource": "*" }, { "Action": [ "rds:DescribeDatabases" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "oss:ListBuckets", "oss:GetBucketAcl" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "elasticsearch:DescribeInstance", "elasticsearch:ListInstance" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "dataworks:CreateRealTimeProcess", "dataworks:QueryRealTimeProcessStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "eventbridge:CreateEventStreaming", "eventbridge:UpdateEventStreaming", "eventbridge:GetEventStreaming", "eventbridge:DeleteEventStreaming", "eventbridge:ListEventStreamings", "eventbridge:StartEventStreaming", "eventbridge:PauseEventStreaming", "eventbridge:ListEventStreamingMetrics" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ots:GetInstance", "ots:ListInstance", "ots:ListTable", "ots:CreateTable", "ots:UpdateTable", "ots:DescribeTable", "ots:GetRow", "ots:PutRow", "ots:UpdateRow", "ots:DeleteRow", "ots:GetRange", "ots:BatchGetRow", "ots:BatchWriteRow", "ots:BulkImport", "ots:Search", "ots:OpenOtsService", "ots:GetOtsServiceStatus", "ots:InsertInstance", "ots:DeleteTable", "ots:CreateSearchIndex", "ots:DeleteSearchIndex", "ots:UpdateSearchIndex" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "gpdb:DescribeDBInstances", "gpdb:DescribeDBInstanceAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "adb:DescribeDBClusters", "adb:DescribeSchemas", "adb:DescribeTables" ], "Resource": "*", "Effect": "Allow" }, { "Effect": "Allow", "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "ram:ServiceName": "connector.alikafka.aliyuncs.com" } } } ] } - Kebijakan berikut dilampirkan pada peran AliyunServiceRoleForAlikafkaInstanceEncryption:
{ "Version":"1", "Statement":[ { "Action":[ "kms:Listkeys", "kms:Listaliases", "kms:ListResourceTags", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource":"*", "Effect":"Allow" }, { "Action":[ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource":"*", "Effect":"Allow", "Condition":{ "StringEqualsIgnoreCase":{ "kms:tag/acs:alikafka:instance-encryption":"true" } } }, { "Action":"ram:DeleteServiceLinkedRole", "Resource":"*", "Effect":"Allow", "Condition":{ "StringEquals":{ "ram:ServiceName":"instanceencryption.alikafka.aliyuncs.com" } } } ] } - Kebijakan berikut dilampirkan pada peran AliyunServiceRoleForAlikafkaETL:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "fc:InvokeFunction", "fc:GetFunction", "fc:ListServices", "fc:ListFunctions", "fc:ListServiceVersions", "fc:ListAliases", "fc:CreateService", "fc:DeleteService", "fc:CreateFunction", "fc:DeleteFunction" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "ram:ServiceName": "etl.alikafka.aliyuncs.com" } } }, { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "acs:ram:*:*:role/aliyunfcdefaultrole", "Condition": { "StringEquals": { "acs:Service": "fc.aliyuncs.com" } } } ] }
Pertimbangan tambahan
Jika Anda menghapus peran terkait layanan yang dibuat secara otomatis oleh sistem, Anda tidak dapat lagi menggunakan fitur yang bergantung padanya karena izin tidak mencukupi. Berhati-hatilah saat menghapus peran terkait layanan. Untuk informasi lebih lanjut tentang cara membuat ulang peran terkait layanan dan memberikan izin kepada peran terkait layanan, lihat Buat Peran RAM untuk Layanan Alibaba Cloud Tepercaya dan Berikan Izin kepada Peran RAM.
FAQ
- Apa yang harus saya lakukan jika peran AliyunServiceRoleForAlikafka yang terkait dengan ApsaraMQ for Kafka tidak dibuat secara otomatis untuk pengguna RAM saya?
Jika peran terkait layanan dibuat untuk akun Alibaba Cloud Anda, pengguna RAM Anda mewarisi peran terkait layanan dari akun tersebut. Jika pengguna RAM Anda gagal mewarisi peran terkait layanan, masuk ke konsol RAM, buat kebijakan kustom berikut, lalu lampirkan kebijakan tersebut ke pengguna RAM:
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "alikafka.aliyuncs.com" } } } ], "Version": "1" } - Apa yang harus saya lakukan jika peran AliyunServiceRoleForAlikafkaConnector yang terkait dengan ApsaraMQ for Kafka tidak dibuat secara otomatis untuk pengguna RAM saya?
Jika peran terkait layanan dibuat untuk akun Alibaba Cloud Anda, pengguna RAM Anda mewarisi peran terkait layanan dari akun tersebut. Jika pengguna RAM Anda gagal mewarisi peran terkait layanan, masuk ke konsol RAM, buat kebijakan kustom berikut, lalu lampirkan kebijakan tersebut ke pengguna RAM:
{ "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "connector.alikafka.aliyuncs.com" } } } ], "Version": "1" } - Apa yang harus saya lakukan jika peran AliyunServiceRoleForAlikafkaInstanceEncryption yang terkait dengan ApsaraMQ for Kafka tidak dibuat secara otomatis untuk pengguna RAM saya?
Jika peran terkait layanan dibuat untuk akun Alibaba Cloud Anda, pengguna RAM Anda mewarisi peran terkait layanan dari akun tersebut. Jika pengguna RAM Anda gagal mewarisi peran terkait layanan, masuk ke konsol RAM, buat kebijakan kustom berikut, lalu lampirkan kebijakan tersebut ke pengguna RAM:
{ "Statement":[ { "Action":[ "ram:CreateServiceLinkedRole" ], "Resource":"*", "Effect":"Allow", "Condition":{ "StringEquals":{ "ram:ServiceName":"instanceencryption.alikafka.aliyuncs.com" } } } ], "Version":"1" } - Apa yang harus saya lakukan jika peran AliyunServiceRoleForAlikafkaETL yang terkait dengan ApsaraMQ for Kafka tidak dibuat secara otomatis untuk pengguna RAM saya?
Jika peran terkait layanan dibuat untuk akun Alibaba Cloud Anda, pengguna RAM Anda mewarisi peran terkait layanan dari akun tersebut. Jika pengguna RAM Anda gagal mewarisi peran terkait layanan, masuk ke konsol RAM, buat kebijakan kustom berikut, lalu lampirkan kebijakan tersebut ke pengguna RAM:
{ "Statement":[ { "Action":[ "ram:CreateServiceLinkedRole" ], "Resource":"*", "Effect":"Allow", "Condition":{ "StringEquals":{ "ram:ServiceName":"etl.alikafka.aliyuncs.com" } } } ], "Version":"1" }
Jika peran terkait layanan masih belum dibuat secara otomatis untuk pengguna RAM Anda setelah melampirkan kebijakan ke pengguna RAM, lampirkan kebijakan AliyunKafkaFullAccess ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.