Hapus peran terkait layanan ARMS AliyunServiceRoleForARMS - Application Real-Time Monitoring Service

Topik ini menjelaskan peran terkait layanan AliyunServiceRoleForARMS untuk Application Real-Time Monitoring Service (ARMS) dan cara menghapus peran tersebut.

Informasi latar belakang

Peran terkait layanan AliyunServiceRoleForARMS adalah Peran RAM yang diasumsikan oleh ARMS untuk mengakses layanan Alibaba Cloud lainnya guna mengimplementasikan fitur ARMS dalam skenario tertentu. Untuk informasi lebih lanjut tentang peran terkait layanan, lihat Peran Terkait Layanan.

Skema penggunaan

Pemantauan Prometheus ARMS dapat menggunakan peran AliyunServiceRoleForARMS yang dibuat secara otomatis untuk mengakses sumber daya di layanan Alibaba Cloud lainnya, seperti Container Service for Kubernetes (ACK), Simple Log Service, Elastic Compute Service (ECS), dan Virtual Private Cloud (VPC).

Izin peran AliyunServiceRoleForARMS

AliyunServiceRoleForARMS memiliki izin untuk mengakses layanan cloud berikut:

ACK

{
            "Action": [
                "cs:ScaleCluster",
                "cs:DeleteCluster",
                "cs:GetClusterById",
                "cs:GetClusters",
                "cs:GetUserConfig",
                "cs:CheckKritisInstall",
                "cs:GetKritisAttestationAuthority",
                "cs:GetKritisGenericAttestationPolicy",
                "cs:CreateCluster",
                "cs:AttachInstances",
                "cs:InstallKritis",
                "cs:InstallKritisAttestationAuthority",
                "cs:InstallKritisGenericAttestationPolicy",
                "cs:DeleteCluster",
                "cs:UpdateClusterTags",
                "cs:DeleteClusterNodes",
                "cs:UninstallKritis",
                "cs:DeleteKritisAttestationAuthority",
                "cs:DeleteKritisGenericAttestationPolicy",
                "cs:UpdateKritisAttestationAuthority",
                "cs:UpdateKritisGenericAttestationPolicy",
                "cs:UpgradeCluster",
                "cs:DeleteClusterNode",
                "cs:GetClusterLogs"
            ],
            "Resource": [
                "acs:cs:*:*:cluster/*"
            ],
            "Effect": "Allow"
        }

Simple Log Service

{
            "Action": [
                "log:CreateProject",
                "log:GetProject",
                "log:GetLogStoreLogs",
                "log:GetHistograms",
                "log:GetLogStoreHistogram",
                "log:GetLogStore",
                "log:ListLogStores",
                "log:CreateLogStore",
                "log:DeleteLogStore",
                "log:UpdateLogStore",
                "log:GetCursorOrData",
                "log:GetCursor",
                "log:PullLogs",
                "log:ListShards",
                "log:PostLogStoreLogs",
                "log:CreateConfig",
                "log:UpdateConfig",
                "log:DeleteConfig",
                "log:GetConfig",
                "log:ListConfig",
                "log:CreateMachineGroup",
                "log:UpdateMachineGroup",
                "log:DeleteMachineGroup",
                "log:GetMachineGroup",
                "log:ListMachineGroup",
                "log:ListMachines",
                "log:ApplyConfigToGroup",
                "log:RemoveConfigFromGroup",
                "log:GetAppliedMachineGroups",
                "log:GetAppliedConfigs",
                "log:GetShipperStatus",
                "log:RetryShipperTask",
                "log:CreateConsumerGroup",
                "log:UpdateConsumerGroup",
                "log:DeleteConsumerGroup",
                "log:ListConsumerGroup",
                "log:UpdateCheckPoint",
                "log:HeartBeat",
                "log:GetCheckPoint",
                "log:CreateIndex",
                "log:DeleteIndex",
                "log:GetIndex",
                "log:UpdateIndex",
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch",
                "log:GetSavedSearch",
                "log:DeleteSavedSearch",
                "log:ListSavedSearch",
                "log:CreateDashboard",
                "log:UpdateDashboard",
                "log:GetDashboard",
                "log:DeleteDashboard",
                "log:ListDashboard",
                "log:CreateJob",
                "log:UpdateJob"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }

ECS

{
            "Action": [
                "ecs:DescribeInstanceAutoRenewAttribute",
                "ecs:DescribeInstances",
                "ecs:DescribeInstanceStatus",
                "ecs:DescribeInstanceVncUrl",
                "ecs:DescribeSpotPriceHistory",
                "ecs:DescribeUserdata",
                "ecs:DescribeInstanceRamRole",
                "ecs:DescribeDisks",
                "ecs:DescribeSnapshots",
                "ecs:DescribeAutoSnapshotPolicy",
                "ecs:DescribeSnapshotLinks",
                "ecs:DescribeImages",
                "ecs:DescribeImageSharePermission",
                "ecs:DescribeClassicLinkInstances",
                "ecs:AuthorizeSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:DescribeSecurityGroupReferences",
                "ecs:RevokeSecurityGroup",
                "ecs:DescribeNetworkInterfaces",
                "ecs:DescribeTags",
                "ecs:DescribeRegions",
                "ecs:DescribeZones",
                "ecs:DescribeInstanceMonitorData",
                "ecs:DescribeEipMonitorData",
                "ecs:DescribeDiskMonitorData",
                "ecs:DescribeInstanceTypes",
                "ecs:DescribeInstanceTypeFamilies",
                "ecs:DescribeTasks",
                "ecs:DescribeTaskAttribute",
                "ecs:DescribeInstanceAttribute",
                "ecs:InvokeCommand",
                "ecs:CreateCommand",
                "ecs:StopInvocation",
                "ecs:DeleteCommand",
                "ecs:DescribeCommands",
                "ecs:DescribeInvocations",
                "ecs:DescribeInvocationResults",
                "ecs:ModifyCommand",
                "ecs:InstallCloudAssistant"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }

VPC

{
       "Action": [
           "vpc:DescribeVpcs",
           "vpc:DescribeVSwitches"
       ],
       "Resource": "*",
       "Effect": "Allow"
}

Hapus peran AliyunServiceRoleForARMS

Untuk alasan keamanan, Anda mungkin ingin menghapus peran AliyunServiceRoleForARMS jika tidak lagi memerlukan pemantauan Prometheus ARMS. Setelah penghapusan, kluster Kubernetes dalam akun Anda tidak dapat disinkronkan ke daftar kluster Kubernetes di konsol ARMS. Selain itu, ARMS berhenti membaca dan menulis data pemantauan ke konsol ARMS.

Untuk menghapus peran AliyunServiceRoleForARMS, ikuti langkah-langkah berikut:

Catatan

Jika agen Prometheus telah diinstal untuk kluster Kubernetes di akun Anda, uninstall agen tersebut terlebih dahulu. Jika tidak, peran AliyunServiceRoleForARMS tidak dapat dihapus. Untuk informasi lebih lanjut, lihat Uninstall the Prometheus agent.

Masuk ke konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi sebelah kiri, pilih Identities > Roles.
Pada halaman yang muncul, masukkan AliyunServiceRoleForARMS di kotak teks dan klik ikon pencarian.
Di kolom Actions untuk peran AliyunServiceRoleForARMS, klik Delete Role.
Di kotak dialog Delete Role, masukkan AliyunServiceRoleForARMS dan klik Delete Role.

Tanya Jawab Umum

Mengapa peran terkait layanan AliyunServiceRoleForARMS tidak dibuat secara otomatis untuk pengguna RAM saya?

Anda harus mendapatkan izin tertentu untuk membuat atau menghapus peran AliyunServiceRoleForARMS secara otomatis. Untuk mengizinkan peran AliyunServiceRoleForARMS dibuat secara otomatis untuk pengguna RAM Anda, lampirkan kebijakan berikut ke pengguna RAM Anda:

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID of your Alibaba Cloud account:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "arms.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

Catatan

Ganti ID of your Alibaba Cloud account dalam pernyataan kebijakan dengan ID akun Alibaba Cloud Anda.