Apa itu peran terkait layanan untuk DMS - Data Management

Data Management Service (DMS) menggunakan dua peran terkait layanan untuk mengakses layanan Alibaba Cloud lainnya atas nama Anda: AliyunServiceRoleForDMS: untuk fitur-fitur DMS, dan AliyunServiceRoleForDBS: untuk Data Disaster Recovery. Topik ini menjelaskan fungsi masing-masing peran, izin yang dimilikinya, serta cara membuat, melihat, atau menghapusnya.

Latar Belakang

Peran terkait layanan adalah jenis khusus peran Resource Access Management (RAM) yang memiliki dua perbedaan utama dibandingkan peran RAM biasa:

Dikelola oleh layanan: Peran ini dibuat dan dimiliki oleh layanan cloud, bukan oleh akun Anda.
Izin tetap: Anda tidak dapat mengedit kebijakan izinnya. Izin tersebut ditentukan dan dikelola oleh layanan itu sendiri.

Untuk ikhtisar umum tentang peran RAM, lihat Ikhtisar peran RAM. Untuk informasi lebih lanjut mengenai mekanisme peran terkait layanan, lihat Peran terkait layanan.

Skenario

Data Management (DMS)

Jika suatu fitur DMS perlu mengakses resource seperti ECS, VPC, RDS, dan database atau alat lainnya, peran terkait layanan untuk DMS memberikan izin akses yang diperlukan.

Data Disaster Recovery (DBS)

Peran terkait layanan untuk DBS (AliyunServiceRoleForDBS:) adalah peran RAM dengan izin untuk mengakses layanan Alibaba Cloud lainnya. DBS menggunakan peran ini untuk memperoleh izin akses yang diperlukan guna terhubung ke database ApsaraDB yang Anda beli di Alibaba Cloud, seperti RDS, MongoDB, Redis, dan PolarDB, atau ke database yang dikelola sendiri pada instance ECS. Untuk informasi lebih lanjut, lihat Peran terkait layanan.

Detail peran

AliyunServiceRoleForDMS

Fungsi peran ini

AliyunServiceRoleForDMS: memungkinkan DMS mengakses instance Elastic Compute Service (ECS), virtual private cloud (VPC), instance ApsaraDB RDS, serta resource di berbagai database dan alat yang dikelolanya. Secara spesifik:

Menanyakan resource database cloud seperti ApsaraDB RDS, PolarDB, Lindorm, dan lainnya untuk memungkinkan manajemen terpusat database Alibaba Cloud.
Menanyakan instance ECS dan VPC untuk mengelola database yang dikelola sendiri yang dihosting di ECS dan database yang dapat diakses melalui Internet.
Memanggil Data Transmission Service (DTS) dan Data Disaster Recovery untuk mendukung alur kerja migrasi, sinkronisasi, dan pencadangan data.

Field	Value
Nama peran	AliyunServiceRoleForDMS
Nama kebijakan	AliyunServiceRolePolicyForDMS
Layanan tepercaya	dms.aliyuncs.com

Dokumen kebijakan

Kebijakan ini diorganisir berdasarkan layanan cloud yang dikendalikan setiap pernyataan.

ECS — Mengelola grup keamanan dan menjalankan perintah pada instance yang ditandai untuk penggunaan DMS:

{
    "Action": [
        "ecs:DescribeInstances",
        "ecs:JoinSecurityGroup",
        "ecs:LeaveSecurityGroup",
        "ecs:DescribeImages",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:RevokeSecurityGroup",
        "ecs:DescribeRegions",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceAttribute",
        "ecs:CreateCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeInvocationResults"
    ],
    "Resource": "*",
    "Effect": "Allow"
},
{
    "Action": [
        "ecs:InvokeCommand",
        "ecs:StopInvocation"
    ],
    "Resource": "acs:ecs:*:*:instance/*",
    "Condition": {
        "StringEquals": {
            "acs:ResourceTag/dms": "script-for-dms"
        }
    },
    "Effect": "Allow"
},
{
    "Action": [
        "ecs:InvokeCommand",
        "ecs:StopInvocation"
    ],
    "Resource": "acs:ecs:*:*:command/*",
    "Effect": "Allow"
}

ApsaraDB RDS — Menanyakan detail instance, log SQL, kebijakan pencadangan, dan mengelola tag:

{
    "Action": [
        "rds:DescribeDBInstanceHAConfig",
        "rds:DescribeBinlogFiles",
        "rds:DescribeDBInstancePerformance",
        "rds:DescribeDBInstanceAttribute",
        "rds:DescribeSlowLogs",
        "rds:DescribeSlowLogRecords",
        "rds:DescribeSQLCollectorPolicy",
        "rds:ModifySQLCollectorPolicy",
        "rds:DescribeSQLLogRecords",
        "rds:DescribeSQLLogFiles",
        "rds:DescribeResourceUsage",
        "rds:DescribeRegions",
        "rds:DescribeDBInstances",
        "rds:DescribeDBInstanceAttribute",
        "rds:ModifyBackupPolicy",
        "rds:DescribeSecurityGroupConfiguration",
        "rds:DescribeDBInstanceEncryptionKey",
        "rds:DescribeDBInstanceTDE",
        "rds:DescribeDBInstanceSSL",
        "rds:DescribeCrossRegionBackupDBInstance",
        "rds:DescribeSQLCollectorRetention",
        "rds:TagResources",
        "rds:UntagResources",
        "rds:ListTagResources",
        "rds:DescribeDBInstanceByTags",
        "rds:DescribeDatabases"
    ],
    "Resource": "*",
    "Effect": "Allow"
},
{
    "Action": [
        "rds:CreateAccount",
        "rds:DeleteAccount",
        "rds:ResetAccountPassword",
        "rds:GrantAccountPrivilege",
        "rds:RevokeAccountPrivilege",
        "rds:CheckAccountNameAvailable"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "rds:tag/dms": "account-management"
        }
    },
    "Effect": "Allow"
}

ApsaraDB for MongoDB — Menanyakan detail instance dan mengelola daftar putih IP:

{
    "Action": [
        "dds:DescribeSecurityIps",
        "dds:ModifySecurityIps",
        "dds:DescribeDBInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Tair (Redis OSS-compatible) — Menanyakan detail instance, konfigurasi, dan mengelola daftar putih IP:

{
    "Action": [
        "kvstore:DescribeSecurityIps",
        "kvstore:ModifySecurityIps",
        "kvstore:DescribeRegions",
        "kvstore:DescribeInstances",
        "kvstore:DescribeInstanceAttribute",
        "kvstore:DescribeInstanceConfig"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

DRDS — Menanyakan detail instance dan mengelola daftar putih IP:

{
    "Action": [
        "drds:DescribeDrdsInstances",
        "drds:QueryInstanceInfoByConn",
        "drds:DescribeDrdsInstanceList",
        "drds:DescribeDrdsDBIpWhiteList",
        "drds:ModifyDrdsIpWhiteList",
        "drds:DescribeDrdsInstanceVersion"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

PolarDB — Menanyakan detail kluster serta mengelola aturan penyembunyian dan log audit:

{
    "Action": [
        "polardb:DescribeRegions",
        "polardb:DescribeDBClusters",
        "polardb:DescribeDBClusterAttribute",
        "polardb:DescribeDBClusterEndpoints",
        "polardb:DescribeMaskingRules",
        "polardb:ModifyMaskingRules",
        "polardb:DeleteMaskingRules",
        "polardb:DescribeDBClusterVersion",
        "polardb:DescribeDBClusterAuditLogCollector"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

PolarDB-X — Menanyakan detail instance dan mengelola daftar putih IP:

{
    "Action": [
        "polardbx:DescribeDBInstances",
        "polardbx:DescribeSecurityIps",
        "polardbx:ModifySecurityIps",
        "polardbx:DescribeDBInstanceAttribute",
        "polardbx:DescribeBinaryLogList",
        "polardbx:DescribeDBInstanceViaEndpoint"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

HybridDB for MySQL (petadata) — Menanyakan detail instance dan mengelola daftar putih IP:

{
    "Action": [
        "petadata:DescribeInstances",
        "petadata:DescribeInstanceInfoByConnection",
        "petadata:DescribeSecurityIPs",
        "petadata:ModifySecurityIPs"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

HDM — Mengakses instance HDM:

{
    "Action": [
        "hdm:AccessHDMInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Data Transmission Service (DTS) — Membuat dan mengelola pekerjaan migrasi, sinkronisasi, dan ETL:

{
    "Action": [
        "dts:CreateMigrationJob",
        "dts:ConfigureMigrationJob",
        "dts:StartMigrationJob",
        "dts:StopMigrationJob",
        "dts:DescribeMigrationJobStatus",
        "dts:DescribeMigrationJobDetail",
        "dts:CreateSynchronizationJob",
        "dts:ConfigureSynchronizationJob",
        "dts:StartSynchronizationJob",
        "dts:SuspendSynchronizationJob",
        "dts:DescribeSynchronizationJobStatus",
        "dts:ShieldPrecheck",
        "dts:CreateDtsInstance",
        "dts:ConfigureDtsJob",
        "dts:StartDtsJob",
        "dts:ModifyDtsJob",
        "dts:StopDtsJob",
        "dts:DescribeDtsJobDetail",
        "dts:DescribeDtsJobs",
        "dts:ConfigureEtlJob",
        "dts:SaveEtlJob",
        "dts:SuspendDtsJob",
        "dts:DeleteDtsJob",
        "dts:ModifyDtsJobName",
        "dts:SkipPreCheck",
        "dts:DescribeDtsEtlJobVersionInfo",
        "dts:DescribeEtlJobLogs",
        "dts:PreviewSql",
        "dts:DescribePreCheckStatus",
        "dts:DescribeDtsJobLogs",
        "dts:DescribeJobMonitorRule",
        "dts:CreateJobMonitorRule",
        "dts:DescribeConfigRelations",
        "dts:DescribeFormInfo",
        "dts:DescribeDmsInstanceDetail",
        "dts:DescribeSchemaList",
        "dts:DescribeColumns",
        "dts:DescribeStruct",
        "dts:DescribeDtsInstancePrice",
        "dts:DescribeRegions",
        "dts:DescribeInstanceInventory",
        "dts:CreateCheckJob",
        "dts:DescribeCheckJobDiffDetails",
        "dts:EtlMockData",
        "dts:EtlMockResult",
        "dts:DescribeCheckJobStatus",
        "dts:DescribeDtsJobStatistics",
        "dts:Ping",
        "dts:DescribeUploadPolicy"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

API Gateway — Membuat dan mengelola grup API, API, dan aplikasi untuk penerbitan API database:

{
    "Action": [
        "apigateway:CreateApiGroup",
        "apigateway:ModifyApiGroup",
        "apigateway:DeleteApiGroup",
        "apigateway:DescribeApiGroups",
        "apigateway:CreateApi",
        "apigateway:ModifyApi",
        "apigateway:DeployApi",
        "apigateway:AbolishApi",
        "apigateway:DeleteApi",
        "apigateway:DescribeApi",
        "apigateway:DescribeApis",
        "apigateway:CreateApp",
        "apigateway:ModifyApp",
        "apigateway:DeleteApp",
        "apigateway:DescribeAppSecurity",
        "apigateway:ResetAppCode",
        "apigateway:ResetAppSecret",
        "apigateway:DescribeAppAttributes",
        "apigateway:SetApisAuthorities",
        "apigateway:DescribeAuthorizedApps"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Database Gateway (dg) — Menanyakan gateway dan database pengguna untuk konektivitas on-premises:

{
    "Action": [
        "dg:GetUserGateways",
        "dg:GetUserDatabases",
        "dg:GetUserGatewayInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

OpenAnalytics — Mengirimkan dan mengelola pekerjaan Spark:

{
    "Action": [
        "openanalytics:QueryBucketList",
        "openanalytics:QueryDirectoryList",
        "openanalytics:ListVirtualClusters",
        "openanalytics:SubmitSparkJob",
        "openanalytics:KillSparkJob",
        "openanalytics:GetJobLog",
        "openanalytics:GetJobDetail",
        "openanalytics:GetJobStatus",
        "openanalytics:ExecuteService",
        "openanalytics:QueryService",
        "openanalytics:ExecuteOnVirtualCluster"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Data Disaster Recovery (dbs) — Membuat dan mengelola rencana pencadangan dan pemulihan:

{
    "Action": [
        "dbs:DescribeBackupPlanList",
        "dbs:DescribeFullBackupList",
        "dbs:CreateBackupPlan",
        "dbs:ConfigureBackupPlan",
        "dbs:ModifyBackupObjects",
        "dbs:StartBackupPlan",
        "dbs:ModifyBackupSourceEndpoint",
        "dbs:StartTask",
        "dbs:StopBackupPlan",
        "dbs:CreateRestoreTask",
        "dbs:StartRestoreTask",
        "dbs:DescribeRestoreTaskList",
        "dbs:DescribeRestoreRangeInfo",
        "dbs:CreateDLAService",
        "dbs:DescribeDLAService",
        "dbs:CloseDLAService",
        "dbs:CreateAndStartBackupPlan",
        "dbs:DescribeFullBackupSet",
        "dbs:DescribeDataSourceQueryableAttribute",
        "dbs:DescribeDataSourceQueryableAttributeDetail",
        "dbs:GetTimeTravelInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

OceanBase — Menanyakan informasi koneksi kluster dan tenant:

{
    "Action": [
        "oceanbase:DescribeAllTenantsConnectionInfo",
        "oceanbase:DescribeInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

HBase — Menanyakan detail instance dan mengelola daftar putih IP:

{
    "Action": [
        "hbase:DescribeInstances",
        "hbase:DescribeInstance",
        "hbase:DescribeEndpoints",
        "hbase:DescribeIpWhitelist",
        "hbase:ModifyIpWhitelist"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Cassandra — Menanyakan detail kluster dan mengelola daftar putih IP:

{
    "Action": [
        "cassandra:DescribeClusters",
        "cassandra:DescribeCluster",
        "cassandra:DescribeDataCenters",
        "cassandra:DescribeIpWhitelistGroups",
        "cassandra:ModifyIpWhitelistGroup"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Lindorm — Menanyakan detail instance, mengelola daftar putih IP, dan menjalankan pekerjaan komputasi:

{
    "Action": [
        "lindorm:GetLindormInstanceList",
        "lindorm:GetLindormInstance",
        "lindorm:GetLindormInstanceEngineList",
        "lindorm:GetLindormInstanceListForDMS",
        "lindorm:GetLindormInstanceForDMS",
        "lindorm:GetLindormInstanceForDMSByConnStr",
        "lindorm:GetInstanceIpWhiteList",
        "lindorm:UpdateInstanceIpWhiteList",
        "lindorm:CreateComputeEngineJob",
        "lindorm:GetComputeEngineJobDetail",
        "lindorm:GetComputeEngineJobLog",
        "lindorm:ReleaseLindormComputeJob"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

AnalyticDB (adb) — Mengelola kluster dan beban kerja Spark:

{
    "Action": [
        "adb:CreateDBCluster",
        "adb:CreateAccount",
        "adb:DescribeDBClusters",
        "adb:DescribeDBClusterNetInfo",
        "adb:SubmitSparkApp",
        "adb:KillSparkApp",
        "adb:ListSparkApps",
        "adb:GetSparkAppLog",
        "adb:GetSparkAppInfo",
        "adb:GetSparkAppState",
        "adb:GetSparkAppAttemptLog",
        "adb:GetSparkAppWebUiAddress",
        "adb:ListSparkAppAttempts",
        "adb:DescribeDBClusterAttribute",
        "adb:DescribeDBResourceGroup",
        "adb:ExecuteSparkWarehouseBatchSQL",
        "adb:CancelSparkWarehouseBatchSQL",
        "adb:GetSparkWarehouseBatchSQL"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

AnalyticDB for PostgreSQL (gpdb) — Menanyakan instance dan mengontrol jeda/lanjut:

{
    "Action": [
        "gpdb:DescribeDBInstances",
        "gpdb:ResumeInstance",
        "gpdb:PauseInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

VPC — Menanyakan VPC dan VSwitch:

{
    "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Hologres — Menampilkan detail instance:

{
    "Action": [
        "hologram:GetInstance",
        "hologram:ListInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

GDB — Menanyakan instance database graf:

{
    "Action": [
        "gdb:DescribeDbInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Object Storage Service (OSS) — Menampilkan daftar bucket:

{
    "Action": [
        "oss:ListBuckets"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

SelectDB — Menanyakan detail instance dan mengelola daftar putih IP:

{
    "Action": [
        "selectdb:DescribeDBInstances",
        "selectdb:DescribeDBInstanceAttribute",
        "selectdb:DescribeDBInstanceNetInfo",
        "selectdb:DescribeSecurityIPList",
        "selectdb:ModifySecurityIPList"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

ClickHouse — Menanyakan detail kluster dan instance serta mengelola daftar putih IP:

{
    "Action": [
        "clickhouse:DescribeDBClusters",
        "clickhouse:DescribeDBInstances",
        "clickhouse:DescribeDBInstanceAttribute",
        "clickhouse:DescribeEndpoints",
        "clickhouse:DescribeSecurityIPList",
        "clickhouse:ModifySecurityIPList"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

StarRocks (sr) — Menanyakan detail instance dan informasi koneksi:

{
    "Action": [
        "sr:ListInstances",
        "sr:GetInstanceDetail",
        "sr:DescribeRegions",
        "sr:GetDmsConnectionInfo",
        "sr:GetNetworkMappingIp"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Data Disaster Recovery internal (dbs-inner) — Menanyakan atribut sumber data untuk fitur perjalanan waktu:

{
    "Action": [
        "dbs-inner:DescribeDataSourceQueryableAttribute",
        "dbs-inner:DescribeDataSourceQueryableAttributeDetail",
        "dbs-inner:GetTimeTravelInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Key Management Service (KMS) — Menampilkan daftar rahasia dan mendekripsi kredensial:

{
    "Action": [
        "kms:ListSecrets",
        "kms:GetSecretValue",
        "kms:Decrypt",
        "kms:ListKmsInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

Tablestore (ots) — Menampilkan daftar instance:

{
    "Action": [
        "ots:ListInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

RAM — Menghapus peran terkait layanan DMS itu sendiri:

{
    "Action": "ram:DeleteServiceLinkedRole",
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "dms.aliyuncs.com"
        }
    }
}

AliyunServiceRoleForDBS

Fungsi peran ini

AliyunServiceRoleForDBS: memungkinkan Data Disaster Recovery terhubung ke dan mengelola database berikut:

Database Alibaba Cloud: instance ApsaraDB RDS, instance ApsaraDB for MongoDB, instance Tair (Redis OSS-compatible), dan database PolarDB.
Database yang dikelola sendiri yang dihosting pada instance ECS.

Peran ini harus ada sebelum Data Disaster Recovery dapat mengakses database tersebut. Saat Anda pertama kali menggunakan Data Disaster Recovery, sistem akan membuat peran ini secara otomatis.

Field	Value
Nama peran	AliyunServiceRoleForDBS
Nama kebijakan	AliyunServiceRolePolicyForDBS
Layanan tepercaya	dbs.aliyuncs.com

Dokumen kebijakan

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "rds:DescribeDBInstanceNetInfo",
        "rds:DescribeDBInstanceNetInfoForChannel",
        "rds:DescribeTasks",
        "rds:DescribeDBInstances",
        "rds:DescribeFilesForSQLServer",
        "rds:DescribeImportsForSQLServer",
        "rds:DescribeSlowLogRecords",
        "rds:DescribeBinlogFiles",
        "rds:DescribeSQLLogRecords",
        "rds:DescribeParameters",
        "rds:DescribeParameterTemplates",
        "rds:DescribeDBInstanceAttribute",
        "rds:DescribeDatabases",
        "rds:DescribeAccounts",
        "rds:DescribeSecurityIPList",
        "rds:DescribeSecurityIps",
        "rds:DescribeDBInstanceIPArray",
        "rds:DescribeDBInstanceIPArrayList",
        "rds:DescribeDBInstanceSSL",
        "rds:DescribeDBInstanceTDE",
        "rds:CreateDBInstance",
        "rds:CreateAccount",
        "rds:CreateDatabase",
        "rds:ModifySecurityIps",
        "rds:GrantAccountPrivilege",
        "rds:CreateMigrateTask",
        "rds:CreateOnlineDatabaseTask",
        "rds:DescribeMigrateTasks",
        "rds:DescribeOssDownloads",
        "rds:CreateBackup",
        "rds:DescribeBackups",
        "rds:DescribeBackupPolicy",
        "rds:ModifyBackupPolicy",
        "rds:DescribeBackupTasks",
        "rds:DescribeBinlogFiles",
        "rds:DescribeResourceUsage",
        "rds:DescribeAvailableZones",
        "rds:DescribeAvailableClasses",
        "rds:ListClasses",
        "rds:CreateDdrInstance"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:DescribeInstance",
        "ecs:DescribeInstances",
        "ecs:DescribeVpcs",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:AuthorizeSecurityGroup",
        "ecs:JoinSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeSnapshots",
        "ecs:ModifySnapshotAttribute",
        "ecs:ResizeDisk",
        "ecs:CreateSecurityGroup",
        "ecs:ModifySecurityGroupPolicy"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kms:ListKeys"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "cms:PutEventRule",
        "cms:PutEventTargets",
        "cms:ListEventRules",
        "cms:ListEventTargetsByRule",
        "cms:DeleteEventRule",
        "cms:DeleteEventTargets"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "polardb:DescribeDBClusterAttribute",
        "polardb:DescribeDBClusterIPArrayList",
        "polardb:DescribeDBClusterNetInfo",
        "polardb:DescribeDBClusters",
        "polardb:ModifySecurityIps",
        "polardb:DescribeDBClusterEndpoints",
        "polardb:DescribeDBClusterAccessWhitelist",
        "polardb:ModifyDBClusterAccessWhitelist"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "dds:DescribeDBInstanceAttribute",
        "dds:DescribeReplicaSetRole",
        "dds:DescribeShardingNetworkAddress",
        "dds:DescribeSecurityIps",
        "dds:DescribeDBInstances",
        "dds:ModifySecurityIps"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kvstore:DescribeSecurityIps",
        "kvstore:DescribeInstances",
        "kvstore:DescribeAccounts",
        "kvstore:DescribeDBInstanceNetInfo",
        "kvstore:CreateAccount",
        "kvstore:ModifySecurityIps",
        "kvstore:DescribeInstanceAttribute",
        "kvstore:AllocateInstancePrivateConnection",
        "kvstore:DescribeLogicInstanceTopology"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "drds:DescribeDrdsDB",
        "drds:DescribeDrdsDBs",
        "drds:DescribeDrdsDbInstance",
        "drds:DescribeDrdsDbInstances",
        "drds:DescribeDrdsDBIpWhiteList",
        "drds:DescribeDrdsInstances",
        "drds:ModifyDrdsIpWhiteList",
        "drds:CreateDrdsDB",
        "drds:DescribeTable",
        "drds:DescribeTables",
        "drds:ModifyRdsReadWeight",
        "drds:ChangeAccountPassword",
        "drds:CreateDrdsInstance",
        "drds:CreateInstanceInternetAddress",
        "drds:DescribeInstanceAccounts",
        "drds:DescribeBackupSets",
        "drds:DescribeDbInstances",
        "drds:DescribeDrdsCrossRegionBackups",
        "drds:DescribeCrossBackupMetadata",
        "drds:RegisterCrossRegionBackupSet",
        "drds:DeleteCrossRegionBackupSet",
        "drds:DescribeDrdsRdsInstances",
        "drds:CreateDrdsCrossInstance",
        "drds:DescribeDrdsInstanceLevelTasks"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:DeleteVpcEndpoint"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "bssapi:QueryResourcePackageInstances"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "hdm:AddHDMInstance",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "dbs.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "dg:GetUserGateways",
        "dg:GetUserDatabases",
        "dg:AddDatabase",
        "dg:DescribeRegions"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Izin yang diperlukan untuk membuat peran terkait layanan

Data Management (DMS)

Sebelum peran terkait layanan dapat dibuat, Pengguna RAM yang melakukan tindakan tersebut harus memiliki izin ram:CreateServiceLinkedRole yang diberlakukan pada layanan yang sesuai.

Izin khusus diperlukan untuk membuat peran terkait layanan untuk DMS.

Jika Pengguna RAM tidak memiliki izin ini, lampirkan kebijakan kustom dengan pernyataan berikut. Untuk petunjuknya, lihat Buat kebijakan kustom dan Berikan izin kepada Pengguna RAM.

Contoh kebijakan: Izinkan pembuatan peran terkait layanan untuk DMS.

AliyunServiceRoleForDMS:

{
  "Action": "ram:CreateServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
    "StringEquals": {
      "ram:ServiceName": "dms.aliyuncs.com"
    }
  }
}

Data Disaster Recovery (DBS)

Izin khusus diperlukan untuk membuat peran terkait layanan untuk Data Disaster Recovery (DBS).

Jika Pengguna RAM Anda tidak memiliki izin yang cukup, Anda harus menambahkan izin berikut ke Pengguna RAM tersebut. Untuk informasi lebih lanjut tentang cara menambahkan dan memberikan izin, lihat Buat kebijakan izin kustom dan Kelola izin Pengguna RAM.

Contoh kebijakan: Izinkan pembuatan peran terkait layanan untuk Data Disaster Recovery (DBS).

AliyunServiceRoleForDBS:

{
  "Action": "ram:CreateServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
    "StringEquals": {
      "ram:ServiceName": "dbs.aliyuncs.com"
    }
  }
}

Buat peran terkait layanan

Data Management (DMS)

AliyunServiceRoleForDMS: Jika Pengguna RAM Anda memiliki izin yang diperlukan, login ke Konsol DMS. Saat kotak dialog DMS Service-linked Role muncul, klik OK. Sistem akan membuat AliyunServiceRoleForDMS secara otomatis. Untuk detailnya, lihat bagian Buat peran terkait layanan dalam topik "Peran terkait layanan".

Data Disaster Recovery (DBS)

AliyunServiceRoleForDBS: Sistem membuat peran ini secara otomatis saat pertama kali Anda menggunakan Data Disaster Recovery. Tidak diperlukan langkah manual.

Lihat peran terkait layanan

Data Management (DMS)

Setelah peran terkait layanan dibuat, Anda dapat melihat Nama Sumber Daya Alibaba Cloud (ARN), kebijakan kepercayaan, dan kebijakan izinnya di Konsol RAM. Langkah-langkah berikut berlaku untuk kedua peran tersebut — ganti nama peran dan nama kebijakan sesuai yang ditunjukkan.

Login ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Identities > Roles.
Pada halaman Roles, cari nama peran (AliyunServiceRoleForDMS: atau AliyunServiceRoleForDBS:) lalu klik namanya.
Di halaman detail peran, temukan informasi berikut:
- Basic Information — menampilkan nama peran, waktu pembuatan, dan ARN.
- Tab Trust Policy — menampilkan field Service, yang mengidentifikasi layanan cloud yang dapat mengasumsikan peran tersebut. Contohnya: "Service": ["dms.aliyuncs.com"].
- Tab Permissions — mencantumkan kebijakan yang dilampirkan. Klik nama kebijakan (AliyunServiceRolePolicyForDMS atau AliyunServiceRolePolicyForDBS) lalu buka tab Policy Document untuk melihat isi lengkap kebijakan.

Izin peran terkait layanan tidak terlihat di halaman Policies di Konsol RAM. Akses melalui halaman detail peran seperti yang dijelaskan di atas.

Data Disaster Recovery (DBS)

Setelah peran terkait layanan untuk Data Disaster Recovery (DBS) (AliyunServiceRoleForDBS:) dibuat, Anda dapat melihat peran tersebut di Konsol RAM. Di konsol, Anda dapat melihat informasi dasar, kebijakan kepercayaan, dan kebijakan akses (AliyunServiceRolePolicyForDBS) dari peran tersebut.

Login ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Identity Management > Roles.
Pada halaman Roles, temukan dan klik AliyunServiceRoleForDBS:.
Lihat informasi dasar peran tersebut.
Di bagian Basic Information pada halaman detail peran, Anda dapat melihat informasi seperti nama peran RAM, waktu pembuatan, dan ARN.
Lihat kebijakan kepercayaan peran tersebut.
Di halaman detail peran, klik tab Trust Policy. Di field Service, Anda dapat melihat layanan Alibaba Cloud yang dapat mengasumsikan peran ini. Contohnya: "Service": ["dbs.aliyuncs.com"].
Lihat kebijakan akses peran tersebut (AliyunServiceRolePolicyForDBS).
1. Di halaman detail peran, klik tab Permission Management.
2. Klik nama kebijakan AliyunServiceRolePolicyForDBS.
3. Di tab Policy Content, Anda dapat melihat detail kebijakan akses tersebut.
Catatan
Anda tidak dapat langsung melihat kebijakan akses peran terkait layanan di daftar kebijakan akses di Konsol RAM.

Hapus peran terkait layanan

Data Management (DMS)

AliyunServiceRoleForDMS: Hapus semua instance dari daftar instance di Konsol DMS sebelum menghapus peran ini. Hal ini diperlukan agar DMS tidak kehilangan akses ke resource yang masih dikelolanya. Untuk petunjuknya, lihat Hapus satu atau beberapa instance dan Hapus peran terkait layanan.

Data Disaster Recovery (DBS)

AliyunServiceRoleForDBS: Hapus peran ini secara manual di Konsol RAM. Untuk petunjuknya, lihat Hapus peran RAM.