Peran terkait layanan - Cloud Parallel File Storage

Topik ini menjelaskan peran terkait layanan untuk Cloud Parallel File Storage (CPFS) dan cara menghapus peran tersebut.

Latar Belakang

Peran terkait layanan adalah Peran RAM (Resource Access Management) yang entitas tepercaya-nya adalah layanan Alibaba Cloud. Anda dapat menggunakan peran ini untuk mengakses layanan atau sumber daya Alibaba Cloud lainnya.

Dalam kebanyakan kasus, CPFS secara otomatis membuat peran terkait layanan. Namun, jika terjadi kesalahan selama pembuatan otomatis atau CPFS tidak mendukung pembuatan otomatis, Anda harus membuat peran tersebut secara manual.

RAM menyediakan kebijakan sistem untuk setiap peran terkait layanan. Kebijakan ini tidak dapat dimodifikasi. Untuk melihat informasi tentang kebijakan sistem dari peran tertentu, buka halaman detail peran tersebut.

Catatan

Untuk informasi lebih lanjut tentang peran terkait layanan, lihat Peran Terkait Layanan.

Daftar Peran

Bagian ini menjelaskan peran terkait layanan untuk CPFS dan skenario di mana peran tersebut berlaku.

AliyunServiceRoleForNasCpfsNetwork
Untuk membuat atau menghapus antarmuka jaringan elastis (ENI) atau grup keamanan, CPFS mengasumsikan peran AliyunServiceRoleForNasCpfsNetwork untuk mengakses layanan Virtual Private Cloud (VPC) dan Elastic Compute Service (ECS) milik Anda.
AliyunServiceRoleForNasCpfsClient
Untuk membuat atau menghapus Instance ECS, Instance Cloud Assistant, informasi otorisasi apa pun, atau grup keamanan, CPFS mengasumsikan peran AliyunServiceRoleForNasCpfsClient untuk mengakses layanan VPC dan ECS milik Anda.
AliyunServiceRoleForNasOssDataFlow
Untuk menggunakan fitur aliran data sistem file CPFS, CPFS mengasumsikan peran AliyunServiceRoleForNasOssDataFlow untuk menanyakan, membaca, dan menulis data dalam bucket yang ditentukan di Object Storage Service (OSS).
AliyunServiceRoleForNasEventNotification
Untuk menggunakan fitur aliran data sistem file CPFS, CPFS mengasumsikan peran AliyunServiceRoleForNasEventNotification untuk membuat dan memodifikasi parameter EventBridge.

Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.

Izin

Bagian ini menjelaskan kebijakan izin yang dilampirkan pada peran terkait layanan untuk CPFS.

AliyunServiceRoleForNasCpfsNetwork

{
    "Version": "1",
    "Statement": [{
            "Action": [
                "vpc:DescribeVSwitchAttributes",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:CreateSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "acs:ecs:*:*:*/*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "ecs:tag/nas:cpfs": "true"
                }
            }
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "cpfs-network.nas.aliyuncs.com"
                }
            }
        }
    ]
}

AliyunServiceRoleForNasCpfsClient

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:RunInstances",
 "ecs:CreateInstance",
 "ecs:DescribeInstances",
 "ecs:CreateSecurityGroup",
 "ecs:DescribeSecurityGroups",
 "ecs:InstallCloudAssistant",
 "ecs:DescribeInvocations"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:StartInstances",
 "ecs:DeleteInstances",
 "ecs:RunCommand",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup",
 "ecs:AuthorizeSecurityGroup",
 "ecs:AuthorizeSecurityGroupEgress",
 "ecs:RevokeSecurityGroup",
 "ecs:RevokeSecurityGroupEgress"
 ],
 "Resource": "acs:ecs:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "ecs:tag/nas:cpfs": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "cpfs-client.nas.aliyuncs.com"
 }
 }
 } 
 ]
 }

AliyunServiceRoleForNasOssDataFlow

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "oss:ListBuckets",
 "oss:GetBucketTagging"
 ],
 "Resource": [
 "acs:oss:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "oss:HeadBucket",
 "oss:GetBucketLocation",
 "oss:GetBucketInventory",
 "oss:GetBucketInfo",
 "oss:GetBucketVersion",
 "oss:GetBucketAcl",
 "oss:GetBucketStat",
 "oss:GetBucket",
 "oss:ListObjects",
 "oss:GetObject",
 "oss:PutObject",
 "oss:CopyObject",
 "oss:AppendObject",
 "oss:DeleteObject",
 "oss:GetObjectMeta",
 "oss:PutObjectACL",
 "oss:GetObjectACL",
 "oss:PutObjectTagging",
 "oss:GetObjectTagging",
 "oss:InitiateMultipartUpload",
 "oss:CompleteMultipartUpload",
 "oss:AbortMultipartUpload",
 "oss:ListMultipartUploads",
 "oss:UploadPart",
 "oss:UploadPartCopy",
 "oss:ListParts"
 ],
 "Resource": [
 "acs:oss:*:*:*",
 "acs:oss:*:*:*/*"
 ],
 "Condition": {
 "StringEqualsIgnoreCase": {
 "oss:tag/cpfs-dataflow": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "oss-dataflow.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasEventNotification

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetEventBus",
 "eventbridge:CreateRule"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetRule",
 "eventbridge:ListRules",
 "eventbridge:UpdateRule",
 "eventbridge:EnableRule",
 "eventbridge:DisableRule",
 "eventbridge:DeleteRule",
 "eventbridge:CreateTargets",
 "eventbridge:UpdateTargets",
 "eventbridge:DeleteTargets"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "event-notification.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

Izin yang diperlukan untuk pengguna RAM agar dapat menggunakan peran terkait layanan

Jika Anda menggunakan pengguna RAM untuk membuat atau menghapus peran terkait layanan, Anda harus menghubungi administrator untuk memberikan izin AliyunNASFullAccess kepada pengguna RAM atau menambahkan izin berikut ke pernyataan Action kebijakan kustom:

Membuat peran terkait layanan: ram:CreateServiceLinkedRole
Menghapus peran terkait layanan: ram:DeleteServiceLinkedRole

Untuk informasi lebih lanjut, lihat Izin yang Diperlukan untuk Membuat dan Menghapus Peran Terkait Layanan.

Lihat peran terkait layanan

Setelah peran terkait layanan dibuat, Anda dapat melihat detail peran tersebut di halaman detail peran di Konsol RAM. Detail peran mencakup informasi berikut:

Basic Information
Di bagian Basic Information halaman detail untuk peran AliyunServiceRoleForNasStandard, Anda dapat melihat informasi dasar peran, termasuk nama peran, waktu pembuatan, Nama Sumber Daya Alibaba Cloud (ARN), dan deskripsi.
Policy
Pada tab Permissions halaman detail untuk peran AliyunServiceRoleForNasStandard, klik nama kebijakan untuk melihat isi kebijakan dan sumber daya cloud yang dapat diakses oleh peran tersebut.
Trust Policy
Pada tab Trust Policy halaman detail untuk peran AliyunServiceRoleForNasStandard, Anda dapat melihat isi kebijakan kepercayaan. Kebijakan kepercayaan menjelaskan entitas tepercaya dari peran RAM. Entitas tepercaya merujuk pada entitas yang dapat mengasumsikan peran RAM. Entitas tepercaya dari peran terkait layanan adalah layanan cloud. Untuk mendapatkan entitas tepercaya dari peran terkait layanan, Anda dapat melihat nilai parameter Service dalam kebijakan kepercayaan.

Untuk informasi lebih lanjut tentang cara melihat informasi tentang peran terkait layanan, lihat Melihat Informasi tentang Peran RAM.

Hapus peran terkait layanan untuk CPFS

Anda dapat menghapus peran terkait layanan yang tidak lagi diperlukan. Sebagai contoh, jika Anda tidak lagi memerlukan fitur aliran data sistem file CPFS, Anda dapat menghapus peran terkait layanan yang sesuai. Sebelum menghapus peran terkait layanan, Anda harus menghapus instance sistem file CPFS yang mengasumsikan peran tersebut. Untuk informasi lebih lanjut, lihat Menghapus Sistem File CPFS untuk Lingjun dan Menghapus Peran Terkait Layanan.

Penting

Setelah menghapus peran terkait layanan, fitur yang bergantung pada peran tersebut tidak dapat digunakan. Lanjutkan dengan hati-hati.

Tanya Jawab Umum

Mengapa peran terkait layanan untuk CPFS tidak dibuat secara otomatis ketika saya masuk sebagai pengguna RAM?

Jika Anda ingin sistem secara otomatis membuat atau menghapus peran terkait layanan untuk CPFS ketika masuk sebagai pengguna RAM, Anda harus memberikan izin yang diperlukan kepada pengguna RAM. Anda dapat melampirkan kebijakan sistem dan kebijakan kustom berikut ke pengguna RAM. Untuk informasi lebih lanjut, lihat Memberikan Izin ke Peran RAM.

Kebijakan Sistem
- AliyunVPCFullAccess: Memberikan izin penuh pada VPC.
- AliyunBSSFullAccess: Memberikan izin penuh pada Manajemen Penagihan.
- AliyunNASFullAccess: Memberikan izin penuh pada NAS.
- AliyunECSNetworkInterfaceManagementAccess: Memberikan izin untuk mengelola ENI ECS.

Kebijakan Kustom

Izin pada cpfs-network.nas.aliyuncs.com dan cpfs-client.nas.aliyuncs.com diperlukan untuk mengelola titik pemasangan.
Izin pada oss-dataflow.nas.aliyuncs.com dan event-notification.nas.aliyuncs.com diperlukan untuk mengelola aliran data.

Contoh kebijakan kustom:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": { 
         "ram:ServiceName": [
            "cpfs-network.nas.aliyuncs.com",
            "cpfs-client.nas.aliyuncs.com",
            "oss-dataflow.nas.aliyuncs.com",
            "event-notification.nas.aliyuncs.com" 
         ]
        }
      }
    }
  ]
}