Topik ini menjelaskan informasi latar belakang, kebijakan, catatan penggunaan, serta FAQ mengenai peran terkait layanan ApsaraMQ for RabbitMQ.
Informasi latar belakang
Beberapa layanan Alibaba Cloud memerlukan akses ke layanan lainnya untuk mengaktifkan fitur tertentu. Dalam situasi ini, Anda dapat menetapkan peran terkait layanan kepada layanan Alibaba Cloud guna mendapatkan izin yang diperlukan untuk mengakses layanan lainnya. Peran terkait layanan adalah bagian dari Peran RAM (Resource Access Management). Saat pertama kali menggunakan fitur tersebut di konsol layanan Alibaba Cloud, sistem akan membuat peran terkait layanan dan memberi tahu bahwa peran tersebut telah dibuat. Untuk detail lebih lanjut, lihat Peran Terkait Layanan.
Tabel berikut menjelaskan peran terkait layanan yang disediakan oleh ApsaraMQ for RabbitMQ.
Peran terkait layanan | Nama layanan | Deskripsi |
AliyunServiceRoleForAmqpMonitoring | monitoring.amqp.aliyuncs.com | ApsaraMQ for RabbitMQ dapat mengasumsikan peran RAM ini untuk mendapatkan izin mengakses CloudMonitor dan Application Real-Time Monitoring Service (ARMS) guna mengimplementasikan fitur pemantauan dan peringatan serta fitur dasbor. Pertama kali Anda menggunakan fitur pemantauan dan peringatan serta fitur dasbor di konsol ApsaraMQ for RabbitMQ, sistem akan membuat peran ini dan memberi tahu Anda bahwa peran tersebut telah dibuat. Untuk informasi lebih lanjut, lihat Pemantauan dan peringatan dan Dasbor. |
AliyunServiceRoleForAmqpLogDelivery | logdelivery.amqp.aliyuncs.com | ApsaraMQ for RabbitMQ dapat mengasumsikan peran RAM ini untuk mendapatkan izin mengakses Layanan Log Sederhana guna mengimplementasikan fitur manajemen log pesan. Pertama kali Anda menggunakan fitur manajemen log pesan di konsol ApsaraMQ for RabbitMQ, sistem akan membuat peran ini dan memberi tahu Anda bahwa peran tersebut telah dibuat. Untuk informasi lebih lanjut, lihat Manajemen log pesan. |
AliyunServiceRoleForAmqpNetwork | network.amqp.aliyuncs.com | ApsaraMQ for RabbitMQ dapat mengasumsikan peran ini untuk mengakses PrivateLink guna mengimplementasikan fitur virtual private cloud (VPC). Pertama kali Anda menggunakan fitur VPC di konsol ApsaraMQ for RabbitMQ, sistem akan membuat peran ini dan memberi tahu Anda bahwa peran tersebut telah dibuat. |
AliyunServiceRoleForAmqpEncrypt | encrypt.amqp.aliyuncs.com | ApsaraMQ for RabbitMQ dapat mengasumsikan peran ini untuk mengakses Key Management Service (KMS) guna mengimplementasikan fitur enkripsi saat diam. Saat Anda membeli instance eksklusif yang mendukung enkripsi saat diam di konsol ApsaraMQ for RabbitMQ, sistem akan membuat peran ini dan memberi tahu Anda bahwa peran tersebut telah dibuat. Jika Anda menggunakan pengguna RAM, Anda juga dapat membuat peran terkait layanan ini dengan memanggil operasi CreateServiceLinkedRole. |
Kebijakan
Kebijakan yang dilampirkan pada peran AliyunServiceRoleForAmqpMonitoring
{ "Version": "1", "Statement": [ { "Action": [ "cms:DescribeMetricRuleList", "cms:DescribeMetricList", "cms:DescribeMetricData" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "arms:OpenVCluster", "arms:ListDashboards", "arms:CheckServiceStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "monitoring.amqp.aliyuncs.com" } } } ] }Kebijakan yang dilampirkan pada peran AliyunServiceRoleForAmqpLogDelivery
{ "Version": "1", "Statement": [ { "Action": [ "log:ListProject", "log:ListLogStores", "log:PostLogStoreLogs" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "logdelivery.amqp.aliyuncs.com" } } } ] }Kebijakan yang dilampirkan pada peran AliyunServiceRoleForAmqpNetwork
{ "Version": "1", "Statement": [ { "Action": [ "privatelink:GetVpcEndpointServiceAttribute", "privatelink:ListVpcEndpointServices", "privatelink:DeleteVpcEndpoint", "privatelink:CreateVpcEndpoint", "privatelink:UpdateVpcEndpointAttribute", "privatelink:ListVpcEndpoints", "privatelink:GetVpcEndpointAttribute", "privatelink:ListVpcEndpointServicesByEndUser", "privatelink:AddZoneToVpcEndpoint", "privatelink:ListVpcEndpointZones", "privatelink:RemoveZoneFromVpcEndpoint", "privatelink:AttachSecurityGroupToVpcEndpoint", "privatelink:ListVpcEndpointSecurityGroups", "privatelink:DetachSecurityGroupFromVpcEndpoint", "privatelink:UpdateVpcEndpointZoneConnectionResourceAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:DescribeVpcAttribute", "vpc:DescribeVpcs", "vpc:ListVSwitchCidrReservations", "vpc:GetVSwitchCidrReservationUsage", "vpc:DescribeVSwitches", "vpc:DescribeVSwitchAttributes", "Ecs:CreateSecurityGroup", "Ecs:DeleteSecurityGroup", "Ecs:DescribeSecurityGroupAttribute", "Ecs:DescribeSecurityGroups" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "network.amqp.aliyuncs.com" } } }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "privatelink.aliyuncs.com" } } } ] }Kebijakan yang dilampirkan pada peran AliyunServiceRoleForAmqpEncrypt
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rabbitmq:instance-encryption": "true" } } }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "encrypt.amqp.aliyuncs.com" } } } ] }
Catatan penggunaan
Jika Anda menghapus peran terkait layanan yang dibuat oleh sistem, Anda tidak lagi dapat menggunakan fitur terkait karena izin tidak mencukupi. Hati-hati saat menghapus peran terkait layanan. Untuk panduan cara membuat ulang peran terkait layanan dan memberikan izin yang diperlukan, lihat Buat Peran RAM untuk Layanan Tepercaya Alibaba Cloud dan Berikan Izin kepada Peran RAM.
FAQ
Mengapa sistem tidak dapat membuat peran terkait layanan ApsaraMQ for RabbitMQ untuk pengguna RAM saya?
Jika peran terkait layanan dibuat untuk akun Alibaba Cloud Anda, pengguna RAM Anda mewarisi peran tersebut dari akun utama. Jika pengguna RAM gagal mewarisi peran terkait layanan, masuk ke Konsol RAM, buat kebijakan kustom berikut, lalu lampirkan kebijakan tersebut ke pengguna RAM.
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:${accountid}:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"logdelivery.amqp.aliyuncs.com",
"monitoring.amqp.aliyuncs.com",
"network.amqp.aliyuncs.com",
"encrypt.amqp.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}Ganti ${accountid} dengan ID akun Alibaba Cloud Anda.
Jika sistem tetap tidak dapat membuat peran terkait layanan untuk pengguna RAM setelah melampirkan kebijakan yang diperlukan, lampirkan kebijakan AliyunAMQPFullAccess ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.