全部产品
Search

搜索本产品

    Cloud Parallel File Storage:Peran terkait layanan untuk Cloud Parallel File Storage

    文档中心

    Cloud Parallel File Storage:Peran terkait layanan untuk Cloud Parallel File Storage

    更新时间:Nov 11, 2025

    Saat Anda mengaktifkan suatu fitur pada sistem file Cloud Parallel File Storage (CPFS), Penyimpanan File NAS secara otomatis membuat peran terkait layanan untuk CPFS. Peran ini memberikan izin kepada CPFS untuk mengakses layanan Alibaba Cloud lainnya, seperti Elastic Compute Service (ECS) dan Virtual Private Cloud (VPC).

    Informasi latar belakang

    Peran terkait layanan adalah jenis peran Resource Access Management (RAM) yang entitas tepercayanya merupakan layanan Alibaba Cloud. Cloud Parallel File Storage (CPFS) menggunakan peran terkait layanan untuk memperoleh izin guna mengakses layanan Alibaba Cloud lainnya dan sumber daya cloud.

    Umumnya, peran terkait layanan dibuat secara otomatis saat Anda melakukan suatu operasi. Jika pembuatan otomatis gagal atau jika CPFS tidak mendukung pembuatan otomatis, Anda harus membuat peran terkait layanan tersebut secara manual.

    Resource Access Management (RAM) menyediakan kebijakan sistem untuk setiap peran terkait layanan. Kebijakan ini tidak dapat diubah. Untuk melihat isi kebijakan, kunjungi halaman produk dari peran terkait layanan tertentu.

    Catatan

    Untuk informasi selengkapnya tentang peran terkait layanan, lihat Peran terkait layanan.

    Skema penggunaan

    Peran terkait layanan untuk CPFS digunakan dalam skenario berikut:

    • AliyunServiceRoleForNasCpfsNetwork

      Untuk membuat atau menghapus antarmuka jaringan elastis (ENI) atau grup keamanan, CPFS mengasumsikan peran AliyunServiceRoleForNasCpfsNetwork untuk mengakses layanan Virtual Private Cloud (VPC) dan Elastic Compute Service (ECS) Anda.

    • AliyunServiceRoleForNasCpfsClient

      Untuk membuat atau menghapus instance ECS, instance Asisten Cloud, informasi otorisasi apa pun, atau grup keamanan, CPFS mengasumsikan peran AliyunServiceRoleForNasCpfsClient untuk mengakses layanan VPC dan ECS Anda.

    • AliyunServiceRoleForNasOssDataFlow

      Saat Anda menggunakan fitur aliran data sistem file CPFS, CPFS mengasumsikan peran AliyunServiceRoleForNasOssDataFlow untuk mengkueri, membaca, dan menulis data di bucket tertentu dalam Object Storage Service (OSS).

    • AliyunServiceRoleForNasEventNotification

      Saat Anda menggunakan fitur aliran data sistem file CPFS, CPFS mengasumsikan peran AliyunServiceRoleForNasEventNotification untuk membuat dan mengubah parameter EventBridge.

    Untuk informasi selengkapnya, lihat Peran terkait layanan.

    Izin

    Bagian ini menjelaskan kebijakan izin yang disambungkan ke peran terkait layanan untuk CPFS.

    AliyunServiceRoleForNasCpfsNetwork

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "vpc:DescribeVSwitchAttributes",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:CreateSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "acs:ecs:*:*:*/*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "ecs:tag/nas:cpfs": "true"
                }
            }
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "cpfs-network.nas.aliyuncs.com"
                }
            }
        }
    ]
}

    AliyunServiceRoleForNasCpfsClient

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:RunInstances",
 "ecs:CreateInstance",
 "ecs:DescribeInstances",
 "ecs:CreateSecurityGroup",
 "ecs:DescribeSecurityGroups",
 "ecs:InstallCloudAssistant",
 "ecs:DescribeInvocations"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:StartInstances",
 "ecs:DeleteInstances",
 "ecs:RunCommand",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup",
 "ecs:AuthorizeSecurityGroup",
 "ecs:AuthorizeSecurityGroupEgress",
 "ecs:RevokeSecurityGroup",
 "ecs:RevokeSecurityGroupEgress"
 ],
 "Resource": "acs:ecs:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "ecs:tag/nas:cpfs": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "cpfs-client.nas.aliyuncs.com"
 }
 }
 } 
 ]
 }

    AliyunServiceRoleForNasOssDataFlow

    {
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "oss:ListBuckets",
 "oss:GetBucketTagging"
 ],
 "Resource": [
 "acs:oss:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "oss:HeadBucket",
 "oss:GetBucketLocation",
 "oss:GetBucketInventory",
 "oss:GetBucketInfo",
 "oss:GetBucketVersion",
 "oss:GetBucketAcl",
 "oss:GetBucketStat",
 "oss:GetBucket",
 "oss:ListObjects",
 "oss:GetObject",
 "oss:PutObject",
 "oss:CopyObject",
 "oss:AppendObject",
 "oss:DeleteObject",
 "oss:GetObjectMeta",
 "oss:PutObjectACL",
 "oss:GetObjectACL",
 "oss:PutObjectTagging",
 "oss:GetObjectTagging",
 "oss:InitiateMultipartUpload",
 "oss:CompleteMultipartUpload",
 "oss:AbortMultipartUpload",
 "oss:ListMultipartUploads",
 "oss:UploadPart",
 "oss:UploadPartCopy",
 "oss:ListParts"
 ],
 "Resource": [
 "acs:oss:*:*:*",
 "acs:oss:*:*:*/*"
 ],
 "Condition": {
 "StringEqualsIgnoreCase": {
 "oss:tag/cpfs-dataflow": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "oss-dataflow.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

    AliyunServiceRoleForNasEventNotification

    {
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetEventBus",
 "eventbridge:CreateRule"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetRule",
 "eventbridge:ListRules",
 "eventbridge:UpdateRule",
 "eventbridge:EnableRule",
 "eventbridge:DisableRule",
 "eventbridge:DeleteRule",
 "eventbridge:CreateTargets",
 "eventbridge:UpdateTargets",
 "eventbridge:DeleteTargets"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "event-notification.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

    Izin yang diperlukan bagi Pengguna RAM untuk menggunakan peran terkait layanan

    Jika Anda menggunakan Pengguna Resource Access Management (RAM) untuk membuat atau menghapus peran terkait layanan, hubungi administrator untuk memberikan izin administrator (AliyunNASFullAccess) kepada Pengguna RAM tersebut. Atau, Anda dapat menambahkan izin berikut ke pernyataan Action dalam kebijakan kustom untuk Pengguna RAM:

    • Membuat peran terkait layanan: ram:CreateServiceLinkedRole

    • Menghapus peran terkait layanan: ram:DeleteServiceLinkedRole

    Untuk informasi selengkapnya tentang cara memberikan izin, lihat Izin yang diperlukan untuk membuat dan menghapus peran terkait layanan.

    Menampilkan peran terkait layanan

    Setelah peran terkait layanan dibuat, buka halaman Peran di Konsol Resource Access Management (RAM). Anda dapat mencari peran terkait layanan berdasarkan namanya, seperti AliyunServiceRoleForNasStandard, untuk melihat informasi berikut tentang peran tersebut:

    • Informasi dasar

      Pada bagian Basic Information di halaman produk peran AliyunServiceRoleForNasStandard, Anda dapat melihat informasi dasar tentang peran tersebut. Informasi ini mencakup nama peran, waktu pembuatan, Nama Sumber Daya Alibaba Cloud (ARN), dan deskripsi.

    • Kebijakan izin

      Pada tab Permission Management di halaman produk peran AliyunServiceRoleForNasStandard, klik nama kebijakan untuk melihat isi kebijakan dan sumber daya cloud yang dapat diakses oleh peran tersebut.

    • Kebijakan kepercayaan

      Pada tab Trust Policy di halaman produk peran AliyunServiceRoleForNasStandard, Anda dapat melihat dokumen kebijakan kepercayaan. Kebijakan kepercayaan menetapkan entitas tepercaya dari peran RAM. Entitas tepercaya adalah identitas yang dapat mengasumsikan peran RAM tersebut. Untuk peran terkait layanan, entitas tepercayanya adalah layanan Alibaba Cloud. Anda dapat melihat entitas tepercaya tersebut pada bidang Service dalam kebijakan kepercayaan.

    Untuk informasi selengkapnya tentang cara menampilkan peran terkait layanan, lihat Menampilkan informasi tentang peran RAM.

    Menghapus peran terkait layanan untuk CPFS

    Jika Anda tidak lagi memerlukan peran terkait layanan untuk CPFS, Anda dapat menghapusnya. Misalnya, Anda mungkin ingin menghapus peran tersebut jika Anda berhenti menggunakan fitur aliran data sistem file CPFS. Sebelum dapat menghapus peran tersebut, Anda harus terlebih dahulu menghapus instans sistem file CPFS yang terkait dengan peran tersebut. Untuk informasi selengkapnya, lihat Menghapus sistem file dan Menghapus peran terkait layanan.

    Pertanyaan Umum

    Mengapa peran terkait layanan untuk CPFS tidak dibuat secara otomatis saat saya masuk sebagai Pengguna RAM?

    Pengguna Resource Access Management (RAM) harus memiliki izin tertentu untuk membuat atau menghapus peran terkait layanan untuk CPFS secara otomatis. Jika peran terkait layanan untuk CPFS tidak dibuat secara otomatis untuk Pengguna RAM, Anda harus memberikan kebijakan sistem dan kebijakan kustom berikut kepada pengguna tersebut. Untuk informasi selengkapnya, lihat Membuat kebijakan izin kustom.

    • Kebijakan sistem

      • AliyunVPCFullAccess: memberikan izin penuh pada VPC.

      • AliyunBSSFullAccess: memberikan izin penuh pada Manajemen Penagihan.

      • AliyunNASFullAccess: memberikan izin penuh pada NAS.

      • AliyunECSNetworkInterfaceManagementAccess: memberikan izin untuk mengelola ENI ECS.

    • Kebijakan kustom

      • Untuk mengelola titik pemasangan, diperlukan izin cpfs-network.nas.aliyuncs.com dan cpfs-client.nas.aliyuncs.com.

      • Untuk mengelola aliran data, diperlukan izin oss-dataflow.nas.aliyuncs.com dan event-notification.nas.aliyuncs.com.

      Contohnya:

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": { 
         "ram:ServiceName": [
            "cpfs-network.nas.aliyuncs.com",
            "cpfs-client.nas.aliyuncs.com",
            "oss-dataflow.nas.aliyuncs.com",
            "event-notification.nas.aliyuncs.com" 
         ]
        }
      }
    }
  ]
}