Elastic High Performance Computing (E-HPC) menggunakan peran terkait layanan untuk mengakses layanan Alibaba Cloud lainnya atas nama Anda. Halaman ini menjelaskan izin yang dimiliki peran tersebut serta cara membuat, melihat, dan menghapus peran terkait layanan.
Apa itu peran terkait layanan
Peran terkait layanan adalah peran Resource Access Management (RAM) yang entitas tepercayanya merupakan layanan Alibaba Cloud. Ketika layanan Alibaba Cloud mengasumsikan peran tersebut, layanan tersebut memperoleh akses ke layanan Alibaba Cloud lainnya. Untuk informasi selengkapnya, lihat Peran terkait layanan.
Tabel berikut menjelaskan peran terkait layanan E-HPC dan kebijakan sistemnya.
Role | System policy | Scenario |
AliyunServiceRoleForEHPC | AliyunServiceRolePolicyForEHPC | Mengizinkan E-HPC untuk mengakses sumber daya cloud terkait, termasuk Elastic Compute Service (ECS), Virtual Private Cloud (VPC), dan Apsara File Storage NAS. |
Berikan izin kepada RAM user
Untuk membuat atau menghapus peran terkait layanan dengan RAM user, berikan izin yang diperlukan dari Akun Alibaba Cloud.
Metode 1: Sambungkan kebijakan AliyunEHPCFullAccess ke RAM user. Kebijakan ini mencakup izin untuk membuat dan menghapus peran terkait layanan E-HPC.
Metode 2: Buat kebijakan kustom yang mencakup aksi berikut dalam elemen
Action, lalu sambungkan kebijakan tersebut ke RAM user:Buat peran terkait layanan:
ram:CreateServiceLinkedRoleHapus peran terkait layanan:
ram:DeleteServiceLinkedRole
Untuk informasi selengkapnya, lihat bagian "Izin yang diperlukan untuk membuat dan menghapus peran terkait layanan" dalam topik ini.
Buat peran terkait layanan
Saat Anda menggunakan E-HPC, sistem akan memeriksa apakah AliyunServiceRoleForEHPC sudah ada untuk Akun Alibaba Cloud Anda. Jika peran tersebut belum ada, sistem akan menampilkan Notifikasi. Setelah Anda mengonfirmasi, sistem secara otomatis membuat AliyunServiceRoleForEHPC.
Setelah sistem membuat peran tersebut, E-HPC dapat mengasumsikannya untuk mengakses sumber daya cloud terkait. Anda mungkin dikenai biaya untuk sumber daya yang Anda buat, seperti Instance ECS dan sistem file NAS.
AliyunServiceRolePolicyForEHPC adalah kebijakan prasetel yang disambungkan ke AliyunServiceRoleForEHPC. Anda tidak dapat menambahkan, mengubah, atau menghapus izin dalam kebijakan ini.
Izin dalam AliyunServiceRolePolicyForEHPC
Blok JSON berikut mencantumkan semua izin yang diberikan kepada peran terkait layanan E-HPC, dikelompokkan berdasarkan layanan.
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:RunInstances",
"ecs:DescribeInstances",
"ecs:DescribeInstanceTypes",
"ecs:DescribeKeyPairs",
"ecs:DescribeSecurityGroups",
"ecs:DescribePrice",
"ecs:DescribeZones",
"ecs:DescribeAvailableResource",
"ecs:DescribeCloudAssistantStatus",
"ecs:CreateSecurityGroup",
"ecs:DescribeImages",
"ecs:AttachKeyPair",
"ecs:ModifyInstanceAttribute",
"ecs:StartInstance",
"ecs:StopInstance",
"ecs:DeleteInstance",
"ecs:CreateInstance",
"ecs:ReplaceSystemDisk",
"ecs:RebootInstance",
"ecs:AuthorizeSecurityGroup",
"ecs:RevokeSecurityGroup",
"ecs:CreateHpcCluster",
"ecs:ModifyHpcClusterAttribute",
"ecs:DeleteHpcCluster",
"ecs:DescribeHpcClusters",
"ecs:DeleteSecurityGroup",
"ecs:DescribeDisks",
"ecs:ReInitDisk",
"ecs:CreateCommand",
"ecs:InvokeCommand",
"ecs:StopInvocation",
"ecs:DeleteCommand",
"ecs:DescribeCommands",
"ecs:ModifyCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:CreateNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:AttachNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DeleteNetworkInterfacePermission",
"ecs:DescribeResourceAllocation",
"ecs:TagResources",
"ecs:DescribeManagedInstances",
"eci:BatchCreateContainerGroups",
"eci:CreateContainerGroup"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"vpc:AllocateEipAddress",
"vpc:DescribeEipAddresses",
"vpc:AssociateEipAddress",
"vpc:DescribeVSwitches",
"vpc:ReleaseEipAddress",
"vpc:CreateVpc",
"vpc:CreateVSwitch"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"nas:DescribeFileSystems",
"nas:DescribeMountTargets",
"nas:CreateFileSystem",
"nas:CreateMountTarget",
"nas:CreateAccessGroup",
"nas:CreateAccessRule",
"nas:DeleteAccessGroup",
"nas:DeleteAccessRule",
"nas:DescribeAccessGroups",
"nas:DescribeAccessRules",
"nas:ModifyFileSystem",
"nas:UpdateFileSystemInfo",
"nas:CPFSCreateFileSystem",
"nas:CPFSDescribeFileSystems",
"nas:CPFSModifyFileSystem",
"nas:CreateLDAPConfig",
"nas:DeleteLDAPConfig",
"nas:DescribeLDAPConfig"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecd:CreateRAMDirectory",
"ecd:CreateADConnectorDirectory",
"ecd:DescribeDirectories",
"ecd:DeleteDirectories",
"ecd:CreateBundle",
"ecd:DescribeBundles",
"ecd:DeleteBundles",
"ecd:ListDirectoryUsers",
"ecd:ModifyEntitlement",
"ecd:CreatePolicyGroup",
"ecd:DescribePolicyGroups",
"ecd:ModifyPolicyGroup",
"ecd:DeletePolicyGroups",
"ecd:CreateDesktops",
"ecd:DescribeDesktops",
"ecd:RebootDesktops",
"ecd:DeleteDesktops",
"ecd:DescribeDesktopTypes",
"ecd:StartDesktops",
"ecd:StopDesktops",
"ecd:CreateImage",
"ecd:DescribeImages",
"ecd:DeleteImages",
"ecd:DescribeRegions",
"ecd:DescribeZones",
"ecd:GetConnectionTicket"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ess:CreateScalingGroup",
"ess:ModifyScalingGroup",
"ess:EnableScalingGroup",
"ess:DisableScalingGroup",
"ess:DeleteScalingGroup",
"ess:SetGroupDeletionProtection",
"ess:DescribeScalingGroups",
"ess:DescribeScalingInstances",
"ess:DescribeScalingActivities",
"ess:DescribeScalingConfiguration",
"ess:DescribeScalingRules",
"ess:CreateScalingConfiguration",
"ess:ModifyScalingConfiguration",
"ess:DeleteScalingConfiguration",
"ess:CreateScalingRule",
"ess:ModifyScalingRule",
"ess:DeleteScalingRule",
"ess:ExecuteScalingRule",
"ess:AttachInstances",
"ess:DetachInstances",
"ess:RemoveInstances",
"ess:CreateScheduledTask",
"ess:DeleteScheduledtask",
"ess:ModifyScheduledTask",
"ess:DescribeLimitation",
"ess:CreateLifecycleHook",
"ess:CompleteLifecycleAction",
"ess:DeleteLifecycleHook",
"ess:TagResources",
"ess:ScaleWithAdjustment"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cms:CreateDynamicTagGroup",
"cms:DescribeMonitorGroups",
"cms:DeleteDynamicTagGroup",
"cms:DeleteMonitorGroup",
"cms:DescribeContactGroupList",
"cms:DescribeDynamicTagRuleList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "acm:DescribePrice",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"acs:Service": "ecs.aliyuncs.com"
}
}
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"ess.aliyuncs.com",
"gws.aliyuncs.com",
"eci.aliyuncs.com"
]
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ehpc.aliyuncs.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"eci:RestartContainerGroup",
"eci:DeleteContainerGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"eci:tag/product": [
"E-HPC"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"pvtz:AddZone",
"pvtz:DescribeZoneInfo",
"pvtz:BindZoneVpc",
"pvtz:DescribeZoneVpcTree",
"pvtz:DescribeZones",
"pvtz:AddZoneRecord",
"pvtz:DeleteZoneRecord",
"pvtz:DescribeZoneRecords",
"pvtz:UpdateZoneRecord",
"pvtz:CheckZoneName",
"pvtz:DeleteZone",
"eci:DescribeContainerGroupEvents",
"eci:DescribeContainerGroupMetric",
"eci:DescribeContainerGroupStatus",
"eci:DescribeContainerGroups",
"eci:DescribeContainerLog",
"eci:DescribeInstanceOpsRecords",
"eci:DescribeMultiContainerGroupMetric",
"eci:DescribeVirtualNodes",
"eci:ExportContainerGroupTemplate",
"eci:ListUsage"
],
"Resource": "*"
}
]
}Lihat peran terkait layanan
Setelah peran terkait layanan dibuat, cari berdasarkan namanya di Konsol RAM untuk melihat detailnya.
Basic Information Di bagian Basic Information, lihat nama peran, waktu pembuatan, Nama Sumber Daya Alibaba Cloud (ARN), dan deskripsi.
Permissions Di tab Permissions, klik nama kebijakan untuk melihat isi kebijakan dan sumber daya cloud yang dapat diakses oleh peran tersebut.
Trust Policy Di tab Trust Policy, lihat kebijakan kepercayaan yang disambungkan ke peran tersebut. Kebijakan kepercayaan menjelaskan entitas tepercaya dari peran RAM. Entitas tepercaya dapat mengasumsikan peran RAM tersebut. Untuk peran terkait layanan, entitas tepercayanya adalah layanan cloud. Periksa bidang
Servicedalam kebijakan kepercayaan untuk mengidentifikasi entitas tepercaya.
Untuk informasi selengkapnya, lihat Lihat informasi tentang peran RAM.
Hapus peran terkait layanan
Setelah Anda menghapus peran terkait layanan, semua fitur yang bergantung pada peran tersebut menjadi tidak tersedia. Lanjutkan dengan hati-hati.
Jika Anda tidak lagi menggunakan E-HPC, hapus peran terkait layanan di Konsol RAM. Untuk informasi selengkapnya, lihat Hapus peran RAM.
Sebelum menghapus peran terkait layanan, pastikan kondisi berikut terpenuhi:
Anda tidak lagi memerlukan peran terkait layanan untuk melakukan operasi seperti membuat kluster atau mengelola sumber daya cloud yang terkait dengan kluster tersebut.
Semua kluster E-HPC yang bergantung pada peran tersebut telah dihapus. Untuk informasi selengkapnya, lihat Lepaskan kluster.