Peran terkait layanan untuk ApsaraMQ for RocketMQ - ApsaraMQ for RocketMQ

Layanan Alibaba Cloud mungkin perlu mengakses layanan lainnya untuk mengimplementasikan fitur tertentu. Dalam hal ini, Anda dapat menetapkan Peran RAM (Resource Access Management) kepada layanan tersebut agar mendapatkan izin yang diperlukan. Biasanya, sistem secara otomatis membuat peran terkait layanan saat Anda melakukan operasi tertentu. Namun, jika ApsaraMQ for RocketMQ tidak mendukung pembuatan otomatis peran terkait layanan atau sistem gagal membuatnya, Anda harus membuat peran tersebut secara manual.

Informasi latar belakang

RAM menyediakan kebijakan sistem untuk setiap peran terkait layanan, yang tidak dapat dimodifikasi. Untuk melihat informasi tentang kebijakan sistem dari peran terkait layanan tertentu, buka halaman detail peran tersebut. Untuk informasi lebih lanjut, lihat System Policy Reference.

Peran terkait layanan yang didukung

ApsaraMQ for RocketMQ menyediakan beberapa peran terkait layanan yang tercantum dalam tabel berikut. Saat pertama kali menggunakan suatu fitur, sistem akan secara otomatis membuat peran yang sesuai.

Sebagai contoh, saat pertama kali menggunakan fitur dasbor ApsaraMQ for RocketMQ, sistem akan secara otomatis membuat peran terkait layanan AliyunServiceRoleForOns.

Nama Peran	Kebijakan Terlampir	Izin
AliyunServiceRoleForOns	AliyunServiceRolePolicyForOns	ApsaraMQ for RocketMQ dapat mengasumsikan peran ini untuk mendapatkan izin berikut: Izin untuk mengakses CloudMonitor untuk mengimplementasikan fitur pemantauan dan peringatan. Izin untuk mengakses Managed Service for Prometheus untuk mengimplementasikan fitur dasbor.
AliyunServiceRoleForRMQMigration	AliyunServiceRolePolicyForRMQMigration	ApsaraMQ for RocketMQ dapat mengasumsikan peran RAM ini untuk mendapatkan izin mengakses virtual private clouds (VPC) untuk memigrasi kluster Apache RocketMQ mandiri ke instance ApsaraMQ for RocketMQ.
AliyunServiceRoleForRMQDisasterRecovery	AliyunServiceRolePolicyForRMQDisasterRecovery	ApsaraMQ for RocketMQ dapat mengasumsikan peran ini untuk mengakses EventBridge untuk mengimplementasikan fitur Global Replicator.
AliyunServiceRoleForRMQ	AliyunServiceRolePolicyForRMQ	Kebijakan default yang dilampirkan pada instance ApsaraMQ for RocketMQ 5.x. Saat Anda membuat instance ApsaraMQ for RocketMQ 5.x, sistem secara otomatis melampirkan kebijakan AliyunServiceRolePolicyForRMQ ke instance tersebut.

Isi kebijakan

AliyunServiceRoleForOns

Berikut adalah kode yang menyediakan isi kebijakan AliyunServiceRolePolicyForOns yang dilampirkan pada peran terkait layanan AliyunServiceRoleForOns:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "cms:DescribeMetricRuleList",
        "cms:DescribeMetricList",
        "cms:DescribeMetricData"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "arms:OpenVCluster",
        "arms:ListDashboards",
        "arms:CheckServiceStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ons.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForRMQMigration

Berikut adalah kode yang menyediakan isi kebijakan AliyunServiceRolePolicyForRMQMigration yang dilampirkan pada peran terkait layanan AliyunServiceRoleForRMQMigration:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:AttachSecurityGroupToVpcEndpoint",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:DetachSecurityGroupFromVpcEndpoint"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "migration.rmq.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForRMQDisasterRecovery

Berikut adalah kode yang menyediakan isi kebijakan AliyunServiceRolePolicyForRMQDisasterRecovery yang dilampirkan pada peran terkait layanan AliyunServiceRoleForRMQDisasterRecovery:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "eventbridge:ListEventStreamings",
        "eventbridge:DeleteEventStreaming",
        "eventbridge:CreateEventStreaming",
        "eventbridge:StartEventStreaming",
        "eventbridge:UpdateEventStreaming",
        "eventbridge:PauseEventStreaming",
        "eventbridge:GetEventStreaming",
        "Ecs:DescribeSecurityGroups"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "disaster-recovery.rmq.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForRMQ

Berikut adalah kode yang menyediakan isi kebijakan AliyunServiceRolePolicyForRMQ yang dilampirkan pada peran terkait layanan AliyunServiceRoleForRMQ:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:AttachSecurityGroupToVpcEndpoint",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:DetachSecurityGroupFromVpcEndpoint",
        "privatelink:UpdateVpcEndpointZoneConnectionResourceAttribute",
        "Ecs:CreateSecurityGroup",
        "Ecs:DeleteSecurityGroup",
        "Ecs:DescribeSecurityGroupAttribute",
        "Ecs:DescribeSecurityGroups",
        "kms:DescribeRegions",
        "kms:GetKmsInstance",
        "kms:ListKeys",
        "kms:ListAliases",
        "kms:ListResourceTags",
        "kms:DescribeKey",
        "kms:TagResource",
        "kms:UntagResource"
      ],
      "Resource": "*"
    },
    {
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:rocketmq:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "rmq.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    }
  ]
}

Lihat detail peran terkait layanan

Setelah peran terkait layanan dibuat, Anda dapat melihat detailnya di halaman detail peran di Konsol RAM. Detail peran mencakup informasi berikut:

Informasi Dasar
Di bagian Basic Information, Anda dapat melihat nama, waktu pembuatan, ARN (Alibaba Cloud Resource Name), dan deskripsi peran.
Kebijakan
Di tab Permissions, Anda dapat mengklik nama kebijakan untuk melihat isi kebijakan.
Catatan
Anda tidak dapat melihat kebijakan yang dilampirkan pada peran terkait layanan di halaman Policies di Konsol RAM. Anda hanya dapat melihat kebijakan tersebut di halaman detail peran.
Kebijakan Kepercayaan
Pada tab Trust Policy, Anda dapat melihat dokumen kebijakan kepercayaan yang dilampirkan pada peran. Kebijakan kepercayaan menjelaskan entitas tepercaya dari peran RAM. Entitas tepercaya merujuk pada entitas yang dapat mengasumsikan peran RAM. Entitas tepercaya dari peran terkait layanan adalah layanan cloud. Anda dapat melihat nilai bidang Service di kebijakan kepercayaan untuk mendapatkan entitas tepercaya.

Untuk informasi lebih lanjut tentang cara melihat informasi peran terkait layanan, lihat Lihat informasi tentang peran RAM.

Hapus peran terkait layanan

Penting

Setelah menghapus peran terkait layanan, fitur yang bergantung pada peran tersebut tidak dapat digunakan. Lanjutkan dengan hati-hati.

Jika Anda tidak menggunakan Security Center untuk jangka waktu lama atau ingin menghapus akun Alibaba Cloud Anda, Anda mungkin perlu menghapus peran terkait layanan secara manual di Konsol RAM. Untuk informasi lebih lanjut, lihat Hapus peran RAM.

Tanya Jawab Umum

Mengapa peran terkait layanan AliyunServiceRoleForOns untuk ApsaraMQ for RocketMQ tidak dibuat secara otomatis untuk pengguna RAM saya?

Jika peran terkait layanan telah dibuat untuk akun Alibaba Cloud Anda, pengguna RAM Anda mewarisi peran tersebut dari akun utama. Jika pengguna RAM Anda tidak mewarisinya, masuk ke Konsol RAM dan tambahkan kebijakan izin berikut:

{
  "Statement": [
    {
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "acs:ram:*:Alibaba Cloud account ID:role/*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName":  "ons.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}

Catatan

Ganti ID akun Alibaba Cloud dengan ID akun Alibaba Cloud Anda.

Jika peran terkait layanan tidak dibuat secara otomatis untuk pengguna RAM Anda setelah kebijakan dilampirkan, lampirkan salah satu kebijakan sistem berikut ke pengguna RAM:

AliyunMQFullAccess
AliyunMQReadOnlyAccess

Untuk informasi lebih lanjut tentang kebijakan di atas, lihat Kebijakan sistem.