Peran terkait layanan untuk ApsaraMQ for RocketMQ 4.x - ApsaraMQ for RocketMQ

Layanan Alibaba Cloud mungkin memerlukan akses ke layanan lainnya untuk mengaktifkan fitur tertentu. Dalam hal ini, Anda dapat menetapkan peran terkait layanan kepada layanan Alibaba Cloud guna mendapatkan izin yang diperlukan untuk mengakses layanan lainnya. Peran terkait layanan adalah Peran RAM (Resource Access Management). Pada umumnya, peran terkait layanan dibuat secara otomatis saat Anda melakukan operasi. Jika ApsaraMQ for RocketMQ gagal membuat peran tersebut secara otomatis, Anda harus membuatnya secara manual.

Informasi latar belakang

RAM menyediakan kebijakan sistem untuk setiap peran terkait layanan, yang tidak dapat dimodifikasi. Untuk melihat informasi tentang kebijakan sistem dari peran terkait layanan tertentu, buka halaman detail peran tersebut. Untuk informasi lebih lanjut, lihat System Policy Reference.

Peran terkait layanan yang didukung

ApsaraMQ for RocketMQ menyediakan peran terkait layanan AliyunServiceRoleForOns. Saat pertama kali menggunakan fitur terkait, sistem akan secara otomatis membuat peran tersebut.

Sebagai contoh, saat pertama kali menggunakan fitur dasbor ApsaraMQ for RocketMQ, sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForOns.

Nama Peran

Kebijakan Terlampir

Izin

AliyunServiceRoleForOns

AliyunServiceRolePolicyForOns

ApsaraMQ for RocketMQ dapat mengasumsikan peran ini untuk mendapatkan izin berikut:

Izin untuk mengakses CloudMonitor untuk mengimplementasikan fitur pemantauan dan peringatan.
Izin untuk mengakses Managed Service for Prometheus untuk mengimplementasikan fitur dasbor.

Dokumen Kebijakan

AliyunServiceRoleForOns

Berikut ini adalah kode yang menunjukkan kebijakan AliyunServiceRolePolicyForOns yang dilampirkan pada peran terkait layanan AliyunServiceRoleForOns:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cms:DescribeMetricRuleList",
                "cms:DescribeMetricList",
                "cms:DescribeMetricData"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "arms:OpenVCluster",
                "arms:ListDashboards",
                "arms:CheckServiceStatus"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "ons.aliyuncs.com"
                }
            }
        }
    ]
}

Lihat detail peran terkait layanan

Setelah peran terkait layanan dibuat, Anda dapat membuka halaman detail peran di konsol RAM untuk melihat detail peran tersebut. Detail peran mencakup informasi berikut:

Informasi Dasar
Di bagian Basic Information, Anda dapat melihat informasi dasar tentang peran, termasuk nama, waktu pembuatan, ARN Alibaba Cloud, dan deskripsi.
Kebijakan
Di tab Permissions, Anda dapat mengklik nama kebijakan untuk melihat isi kebijakan.
Catatan
Anda tidak dapat melihat kebijakan yang dilampirkan pada peran terkait layanan di halaman Policies konsol RAM. Anda hanya dapat melihat kebijakan izin di halaman detail peran.
Kebijakan Kepercayaan
Di tab Trust Policy, Anda dapat melihat dokumen kebijakan kepercayaan yang dilampirkan pada peran. Kebijakan kepercayaan menjelaskan entitas tepercaya dari peran RAM. Entitas tepercaya mengacu pada entitas yang dapat mengasumsikan peran RAM. Entitas tepercaya dari peran terkait layanan adalah layanan cloud. Anda dapat melihat nilai bidang Service dalam kebijakan kepercayaan untuk mendapatkan entitas tepercaya.

Untuk informasi lebih lanjut tentang cara melihat peran terkait layanan, lihat Lihat informasi tentang peran RAM.

Hapus peran terkait layanan

Penting

Setelah Anda menghapus peran terkait layanan, fitur yang bergantung pada peran tersebut tidak dapat digunakan. Lanjutkan dengan hati-hati.

Jika Anda tidak menggunakan Security Center dalam jangka waktu lama atau ingin menghapus akun Alibaba Cloud Anda, Anda mungkin perlu menghapus peran terkait layanan secara manual di konsol RAM. Untuk informasi lebih lanjut, lihat Hapus peran RAM.

Tanya Jawab Umum

Mengapa pengguna RAM saya tidak dapat secara otomatis membuat peran terkait layanan AliyunServiceRoleForOns untuk ApsaraMQ for RocketMQ?

Jika peran terkait layanan telah dibuat untuk akun Alibaba Cloud Anda, pengguna RAM Anda mewarisi peran tersebut dari akun Alibaba Cloud Anda. Jika pengguna RAM Anda tidak mewarisi peran tersebut, masuk ke konsol RAM dan tambahkan kebijakan berikut:

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID akun Alibaba Cloud:role/*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ram:ServiceName":  "ons.aliyuncs.com"    
                }
            }
        }
    ],
    "Version": "1"
}

Catatan

Ganti ID akun Alibaba Cloud dengan ID akun Alibaba Cloud Anda.

Jika pengguna RAM Anda tetap tidak dapat secara otomatis membuat peran terkait layanan setelah kebijakan dilampirkan, lampirkan salah satu kebijakan berikut ke pengguna RAM:

AliyunMQFullAccess
AliyunMQPubOnlyAccess
AliyunMQSubOnlyAccess

Untuk informasi lebih lanjut tentang kebijakan di atas, lihat Kebijakan Sistem.