Topik ini menjelaskan peran terkait layanan untuk Cloud Storage Gateway (CSG).
Informasi latar belakang
Peran terkait layanan adalah Peran Manajemen Akses Sumber Daya (RAM) yang entitas tepercayanya adalah layanan Alibaba Cloud. CSG mengasumsikan peran terkait layanan untuk mendapatkan izin mengakses layanan cloud lainnya atau sumber daya cloud.
Dalam kebanyakan kasus, sistem secara otomatis membuat peran terkait layanan ketika Anda melakukan operasi yang memerlukan akses ke layanan cloud berbeda. Jika pembuatan peran terkait layanan gagal dilakukan secara otomatis atau CSG tidak mengizinkan pembuatan otomatis, Anda harus membuat peran terkait layanan secara manual.
RAM menyediakan kebijakan sistem untuk setiap peran terkait layanan. Anda tidak dapat memodifikasi kebijakan sistem. Untuk melihat informasi tentang kebijakan sistem dari peran terkait layanan tertentu, buka halaman detail peran tersebut.
Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.
Skenario
CSG secara otomatis membuat peran terkait layanan dalam skenario berikut:
AliyunServiceRoleForHCSSGW
Pertama kali Anda masuk ke konsol CSG dan mengotorisasi penggunaan peran terkait layanan, CSG secara otomatis membuat peran terkait layanan AliyunServiceRoleForHCSSGW. Peran ini memungkinkan CSG mengakses Elastic Compute Service (ECS), Virtual Private Cloud (VPC), Object Storage Service (OSS), Simple Message Queue (SMQ), dan Key Management Service (KMS).
AliyunServiceRoleForHCSSGWLogMonitor
Pertama kali Anda menggunakan pemantauan log di konsol CSG dan mengotorisasi penggunaan peran terkait layanan, CSG secara otomatis membuat peran terkait layanan AliyunServiceRoleForHCSSGWLogMonitor. Peran ini memungkinkan CSG mengakses Simple Log Service (SLS).
Izin
AliyunServiceRoleForHCSSGW
Untuk membuat peran terkait layanan AliyunServiceRoleForHCSSGW sebagai pengguna RAM, kebijakan AliyunHCSSGWFullAccess harus dilampirkan ke pengguna RAM.
AliyunServiceRoleForHCSSGW memberikan izin kepada CSG untuk mengakses layanan cloud atau sumber daya berikut:
Antarmuka Jaringan Elastis (ENI) dan grup keamanan di ECS
CSG memerlukan izin berikut untuk mengakses ENI dan grup keamanan:
{ "Action": [ "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission", "ecs:CreateSecurityGroup", "ecs:DescribeSecurityGroups", "ecs:AuthorizeSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:JoinSecurityGroup" ], "Resource": "*", "Effect": "Allow" }VPC
CSG memerlukan izin berikut untuk mengakses sumber daya VPC:
{ "Action": [ "vpc:DescribeVpcs", "vpc:DescribeVSwitches" ], "Resource": "*", "Effect": "Allow" }OSS
CSG memerlukan izin berikut untuk mengunggah, mengunduh, dan mengelola sumber daya OSS:
{ "Action": [ "oss:ListBuckets", "oss:ListObjects", "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:HeadObject", "oss:CopyObject", "oss:InitiateMultipartUpload", "oss:UploadPart", "oss:UploadPartCopy", "oss:CompleteMultipartUpload", "oss:AbortMultipartUpload", "oss:ListMultipartUploads", "oss:ListParts", "oss:GetBucketStat", "oss:GetBucketWebsite", "oss:GetBucketInfo", "oss:GetBucketEncryption", "oss:PutBucketEncryption", "oss:DeleteBucketEncryption", "oss:RestoreObject", "oss:PutObjectTagging", "oss:GetObjectTagging", "oss:DeleteObjectTagging" ], "Resource": "*", "Effect": "Allow" }KMS
CSG memerlukan izin berikut untuk melakukan enkripsi sisi server atau enkripsi sisi klien:
{ "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow" }SMQ
CSG memerlukan izin berikut untuk mengonfigurasi sinkronisasi ekspres untuk gateway:
{ "Action": [ "mns:SendMessage", "mns:ReceiveMessage", "mns:PublishMessage", "mns:DeleteMessage", "mns:GetQueueAttributes", "mns:GetTopicAttributes", "mns:CreateTopic", "mns:DeleteTopic", "mns:CreateQueue", "mns:DeleteQueue", "mns:PutEventNotifications", "mns:DeleteEventNotifications", "mns:UpdateEventNotifications", "mns:GetEvent", "mns:Subscribe", "mns:Unsubscribe", "mns:ListTopic", "mns:ListQueue", "mns:ListSubscriptionByTopic" ], "Resource": "*", "Effect": "Allow" }Transaksi dan tagihan
CSG memerlukan izin berikut untuk mengumpulkan dan menampilkan informasi penagihan gateway:
{ "Action": [ "bss:DescribePrice" ], "Resource": "*", "Effect": "Allow" }
AliyunServiceRoleForHCSSGWLogMonitor
Untuk membuat peran terkait layanan AliyunServiceRoleForHCSSGWLogMonitor sebagai pengguna RAM, kebijakan AliyunHCSSGWFullAccess harus dilampirkan ke pengguna RAM.
AliyunServiceRoleForHCSSGWLogMonitor memberikan izin kepada CSG untuk mengakses layanan cloud berikut:
SLS
CSG memerlukan izin berikut untuk mengonfigurasi pemantauan log untuk gateway:
{ "Action": [ "log:PostLogStoreLogs", "log:GetLogStore" ], "Resource": "*", "Effect": "Allow" }
Izin yang diperlukan untuk pengguna RAM mengelola peran terkait layanan
Pengguna RAM harus ditetapkan kebijakan sistem AliyunHCSSGWFullAccess atau kebijakan kustom yang mencakup izin berikut dalam pernyataan Action:
ram:CreateServiceLinkedRole. Izin ini memungkinkan pengguna RAM membuat peran terkait layanan.ram:DeleteServiceLinkedRole. Izin ini memungkinkan pengguna RAM menghapus peran terkait layanan.
Untuk informasi lebih lanjut, lihat Izin yang Diperlukan untuk Membuat dan Menghapus Peran Terkait Layanan.
Lihat informasi tentang peran terkait layanan
Setelah peran terkait layanan dibuat, Anda dapat menanyakan informasi berikut tentang peran terkait layanan pada halaman Roles di konsol RAM dengan mencari nama peran, misalnya, AliyunServiceRoleForHCSSGW.
Informasi Dasar
Di bagian Basic Information, Anda dapat melihat informasi dasar tentang peran, seperti nama, waktu pembuatan, ARN, dan deskripsi.
Kebijakan
Di tab Permissions, Anda dapat mengklik nama kebijakan untuk melihat isi kebijakan dan sumber daya cloud yang dapat diakses oleh peran tersebut.
Kebijakan Kepercayaan
Di tab Trust Policy, Anda dapat melihat kebijakan kepercayaan yang dilampirkan ke peran. Kebijakan kepercayaan menjelaskan entitas tepercaya dari peran RAM. Entitas tepercaya mengacu pada entitas yang dapat mengasumsikan peran RAM. Entitas tepercaya dari peran terkait layanan adalah layanan cloud. Untuk mendapatkan entitas tepercaya dari peran terkait layanan, Anda dapat melihat nilai parameter
Servicedalam kebijakan kepercayaan.
Untuk informasi tentang cara melihat detail peran terkait layanan, lihat Lihat Informasi tentang Peran RAM.
Hapus peran terkait layanan
Sebelum Anda menghapus peran terkait layanan CSG, Anda harus menghapus gateway terkait. Untuk informasi lebih lanjut, lihat Hapus Peran Terkait Layanan.
Setelah peran terkait layanan dihapus, fitur yang bergantung pada peran tersebut tidak dapat digunakan. Lanjutkan dengan hati-hati.
FAQ
Mengapa peran terkait layanan tidak dibuat secara otomatis ketika saya mengakses CSG sebagai pengguna RAM?
Pengguna RAM tidak memiliki izin yang diperlukan untuk secara otomatis membuat peran terkait layanan untuk CSG. Sistem hanya membuat peran terkait layanan CSG untuk pengguna yang memiliki izin yang diperlukan. Untuk memperbaiki masalah ini, lampirkan kebijakan berikut ke pengguna RAM. Anda harus mengganti ID akun Alibaba Cloud dengan ID akun sebenarnya. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:ID akun Alibaba Cloud:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"hcs-sgw.aliyuncs.com ",
"logmonitor.hcs-sgw.aliyuncs.com",
]
}
}
}
],
"Version": "1"
}