全部产品
Search

搜索本产品

    Bastionhost:Izinkan Bastionhost untuk mengakses sumber daya cloud

    文档中心

    Bastionhost:Izinkan Bastionhost untuk mengakses sumber daya cloud

    更新时间:Jun 28, 2025

    Saat menggunakan Bastionhost untuk pertama kali, izinkan aksesnya ke sumber daya cloud lain. Topik ini menjelaskan cara melakukan otorisasi tersebut.

    Prasyarat

    • Sebuah host bastion telah dibuat. Untuk informasi lebih lanjut, lihat Beli Host Bastion.

    • Akun Alibaba Cloud atau Pengguna Resource Access Management (RAM) yang memiliki izin untuk membuat dan menghapus peran terkait layanan digunakan.

    Informasi latar belakang

    Saat menggunakan Bastionhost untuk pertama kali, Alibaba Cloud secara otomatis membuat peran terkait layanan AliyunServiceRoleForBastionhost. Peran ini memungkinkan Bastionhost untuk mengakses layanan cloud lain. Anda tidak perlu membuat atau memodifikasi peran terkait layanan secara manual. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.

    Prosedur

    1. Masuk ke Konsol Bastionhost.

    2. Di kotak dialog Welcome to Bastionhost, klik Create.

      Saat masuk ke Konsol Bastionhost untuk pertama kali setelah host bastion dibuat, konsol akan meminta Anda memberikan izin kepada Bastionhost agar dapat mengakses sumber daya cloud lain.

      Setelah mengklik Create, Alibaba Cloud secara otomatis membuat peran AliyunServiceRoleForBastionhost. Anda dapat melihat peran yang dibuat secara otomatis di Konsol RAM. Host bastion Anda dapat mengakses layanan cloud lain seperti Elastic Compute Service (ECS) dan Virtual Private Cloud (VPC), serta melakukan O&M server dan audit hanya setelah peran AliyunServiceRoleForBastionhost dibuat.

    Peran terkait layanan untuk Bastionhost

    Untuk menggunakan Bastionhost dalam operasi dan pemeliharaan (O&M), ia harus mengakses layanan cloud lain seperti ECS dan VPC. Untuk mendapatkan izin akses, Anda harus mengasumsikan peran AliyunServiceRoleForBastionhost yang dibuat secara otomatis untuk Bastionhost.

    Berikut adalah detail dari peran AliyunServiceRoleForBastionhost:

    • Nama Peran: AliyunServiceRoleForBastionhost

    • Kebijakan Izin: AliyunServiceRolePolicyForBastionhost

      Catatan

      Ini adalah kebijakan sistem. Anda tidak diperbolehkan memodifikasi nama atau isi kebijakan ini.

    • Contoh:

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "rds:DescribeDBInstanceNetInfo",
                "rds:DescribeDBInstances",
                "rds:DescribeDBInstanceAttribute",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeZones",
                "ecs:DescribeRegions",
                "ecs:DescribeTags",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupReferences",
                "ecs:CreateSecurityGroup",
                "ecs:RevokeSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:ModifySecurityGroupPolicy",
                "ecs:ModifySecurityGroupRule",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission",
                "ecs:DetachNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcAttribute",
                "vpc:DescribeVSwitchAttributes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "bastionhost.aliyuncs.com"
                }
            }
        }
    ]
}

    Hapus peran AliyunServiceRoleForBastionhost

    Jika Anda tidak lagi menggunakan Bastionhost, Anda dapat menghapus peran terkait layanannya, AliyunServiceRoleForBastionhost. Sebelum menghapus peran tersebut, lepaskan host bastion Anda. Kemudian, ikuti langkah-langkah berikut:

    1. Masuk ke Konsol RAM.

    2. Di panel navigasi di sebelah kiri, pilih Identities > Roles.

    3. Di halaman Roles, temukan peran AliyunServiceRoleForBastionhost dan klik Delete Role di kolom Actions.

    4. Di kotak dialog Delete Role, masukkan nama peran dan klik Delete Role.

    FAQ

    Sistem tidak membuat peran AliyunServiceRoleForBastionhost untuk pengguna RAM saya. Apa yang harus saya lakukan?

    Sistem hanya membuat dan menghapus peran AliyunServiceRoleForBastionhost jika pengguna RAM Anda memiliki izin yang diperlukan. Untuk mendapatkan izin yang diperlukan, tambahkan kebijakan berikut ke pengguna RAM Anda. Untuk informasi lebih lanjut, lihat Berikan Izin ke Peran RAM.

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID akun Alibaba Cloud:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "bastionhost.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}