全部产品
Search

搜索本产品

    Elastic High Performance Computing:Peran terkait layanan E-HPC

    文档中心

    Elastic High Performance Computing:Peran terkait layanan E-HPC

    更新时间:Jun 28, 2025

    Saat menggunakan Elastic High Performance Computing (E-HPC), Anda harus membuat peran terkait layanan E-HPC dan memberikan izin kepadanya. Topik ini menjelaskan peran terkait layanan E-HPC, izin yang diperlukan, serta cara membuat, melihat, dan menghapus peran tersebut.

    Pengenalan peran terkait layanan

    Peran terkait layanan adalah Resource Access Management (RAM) role dengan entitas tepercaya berupa layanan Alibaba Cloud. Setelah diasumsikan oleh layanan Alibaba Cloud, peran ini diberi otorisasi untuk mengakses layanan Alibaba Cloud lainnya. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.

    Tabel berikut menjelaskan peran terkait layanan dan kebijakan sistem E-HPC.

    Peran

    Kebijakan sistem

    Skenario

    AliyunServiceRoleForEHPC

    AliyunServiceRolePolicyForEHPC

    Peran ini digunakan untuk memberikan otorisasi kepada E-HPC untuk mengakses sumber daya cloud terkait. Dengan peran ini, E-HPC memiliki izin untuk mengakses layanan Alibaba Cloud, seperti Elastic Compute Service (ECS), Virtual Private Cloud (VPC), dan Apsara File Storage NAS (NAS).

    Berikan izin kepada pengguna RAM

    Jika Anda menggunakan pengguna RAM untuk membuat atau menghapus peran terkait layanan, Anda harus memberikan izin kepada pengguna RAM melalui akun Alibaba Cloud.

    • Metode 1: Lampirkan kebijakan AliyunEHPCFullAccess kepada pengguna RAM. Kebijakan ini mencakup izin untuk membuat dan menghapus peran terkait layanan E-HPC.

    • Metode 2: Lampirkan kebijakan berikut kepada pengguna RAM dalam pernyataan Action dari kebijakan kustom:

      • Membuat peran terkait layanan: ram:CreateServiceLinkedRole

      • Menghapus peran terkait layanan: ram:DeleteServiceLinkedRole

    Untuk informasi lebih lanjut, lihat bagian "Izin yang Diperlukan untuk Membuat dan Menghapus Peran Terkait Layanan" dalam topik ini.

    Buat peran terkait layanan

    Saat menggunakan E-HPC, sistem akan memeriksa apakah peran terkait layanan AliyunServiceRoleForEHPC telah dibuat untuk akun Alibaba Cloud saat ini. Jika peran tersebut tidak ada, sistem akan menampilkan notifikasi. Setelah Anda mengonfirmasi informasi, sistem akan secara otomatis membuat AliyunServiceRoleForEHPC.

    Penting

    Setelah sistem membuat peran, E-HPC dapat mengasumsikan peran tersebut untuk mengakses sumber daya cloud terkait. Anda mungkin akan dikenakan biaya untuk sumber daya yang Anda buat, seperti instance ECS dan sistem file NAS.

    AliyunServiceRolePolicyForEHPC adalah kebijakan preset yang dilampirkan ke peran AliyunServiceRoleForEHPC. Anda tidak dapat menambahkan izin lain ke kebijakan ini. Selain itu, Anda tidak dapat memodifikasi atau menghapus izin dalam kebijakan ini.

    Izin dalam AliyunServiceRolePolicyForEHPC

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceTypes",
        "ecs:DescribeKeyPairs",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribePrice",
        "ecs:DescribeZones",
        "ecs:DescribeAvailableResource",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:CreateSecurityGroup",
        "ecs:DescribeImages",
        "ecs:AttachKeyPair",
        "ecs:ModifyInstanceAttribute",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:DeleteInstance",
        "ecs:CreateInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:RebootInstance",
        "ecs:AuthorizeSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:CreateHpcCluster",
        "ecs:ModifyHpcClusterAttribute",
        "ecs:DeleteHpcCluster",
        "ecs:DescribeHpcClusters",
        "ecs:DeleteSecurityGroup",
        "ecs:DescribeDisks",
        "ecs:ReInitDisk",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:StopInvocation",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:ModifyCommand",
        "ecs:DescribeInvocations",
        "ecs:DescribeInvocationResults",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:AttachNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:DescribeResourceAllocation",
        "ecs:TagResources",
        "ecs:DescribeManagedInstances",
        "eci:BatchCreateContainerGroups",
        "eci:CreateContainerGroup"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "vpc:AllocateEipAddress",
        "vpc:DescribeEipAddresses",
        "vpc:AssociateEipAddress",
        "vpc:DescribeVSwitches",
        "vpc:ReleaseEipAddress",
        "vpc:CreateVpc",
        "vpc:CreateVSwitch"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "nas:DescribeFileSystems",
        "nas:DescribeMountTargets",
        "nas:CreateFileSystem",
        "nas:CreateMountTarget",
        "nas:CreateAccessGroup",
        "nas:CreateAccessRule",
        "nas:DeleteAccessGroup",
        "nas:DeleteAccessRule",
        "nas:DescribeAccessGroups",
        "nas:DescribeAccessRules",
        "nas:ModifyFileSystem",
        "nas:UpdateFileSystemInfo",
        "nas:CPFSCreateFileSystem",
        "nas:CPFSDescribeFileSystems",
        "nas:CPFSModifyFileSystem",
        "nas:CreateLDAPConfig",
        "nas:DeleteLDAPConfig",
        "nas:DescribeLDAPConfig"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecd:CreateRAMDirectory",
        "ecd:CreateADConnectorDirectory",
        "ecd:DescribeDirectories",
        "ecd:DeleteDirectories",
        "ecd:CreateBundle",
        "ecd:DescribeBundles",
        "ecd:DeleteBundles",
        "ecd:ListDirectoryUsers",
        "ecd:ModifyEntitlement",
        "ecd:CreatePolicyGroup",
        "ecd:DescribePolicyGroups",
        "ecd:ModifyPolicyGroup",
        "ecd:DeletePolicyGroups",
        "ecd:CreateDesktops",
        "ecd:DescribeDesktops",
        "ecd:RebootDesktops",
        "ecd:DeleteDesktops",
        "ecd:DescribeDesktopTypes",
        "ecd:StartDesktops",
        "ecd:StopDesktops",
        "ecd:CreateImage",
        "ecd:DescribeImages",
        "ecd:DeleteImages",
        "ecd:DescribeRegions",
        "ecd:DescribeZones",
        "ecd:GetConnectionTicket"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ess:CreateScalingGroup",
        "ess:ModifyScalingGroup",
        "ess:EnableScalingGroup",
        "ess:DisableScalingGroup",
        "ess:DeleteScalingGroup",
        "ess:SetGroupDeletionProtection",
        "ess:DescribeScalingGroups",
        "ess:DescribeScalingInstances",
        "ess:DescribeScalingActivities",
        "ess:DescribeScalingConfiguration",
        "ess:DescribeScalingRules",
        "ess:CreateScalingConfiguration",
        "ess:ModifyScalingConfiguration",
        "ess:DeleteScalingConfiguration",
        "ess:CreateScalingRule",
        "ess:ModifyScalingRule",
        "ess:DeleteScalingRule",
        "ess:ExecuteScalingRule",
        "ess:AttachInstances",
        "ess:DetachInstances",
        "ess:RemoveInstances",
        "ess:CreateScheduledTask",
        "ess:DeleteScheduledtask",
        "ess:ModifyScheduledTask",
        "ess:DescribeLimitation",
        "ess:CreateLifecycleHook",
        "ess:CompleteLifecycleAction",
        "ess:DeleteLifecycleHook",
        "ess:TagResources",
        "ess:ScaleWithAdjustment"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "cms:CreateDynamicTagGroup",
        "cms:DescribeMonitorGroups",
        "cms:DeleteDynamicTagGroup",
        "cms:DeleteMonitorGroup",
        "cms:DescribeContactGroupList",
        "cms:DescribeDynamicTagRuleList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "acm:DescribePrice",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:PassRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": "ecs.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": [
            "ess.aliyuncs.com",
            "gws.aliyuncs.com",
            "eci.aliyuncs.com"
          ]
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ehpc.aliyuncs.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "eci:RestartContainerGroup",
        "eci:DeleteContainerGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "eci:tag/product": [
            "E-HPC"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "pvtz:AddZone",
        "pvtz:DescribeZoneInfo",
        "pvtz:BindZoneVpc",
        "pvtz:DescribeZoneVpcTree",
        "pvtz:DescribeZones",
        "pvtz:AddZoneRecord",
        "pvtz:DeleteZoneRecord",
        "pvtz:DescribeZoneRecords",
        "pvtz:UpdateZoneRecord",
        "pvtz:CheckZoneName",
        "pvtz:DeleteZone",
        "eci:DescribeContainerGroupEvents",
        "eci:DescribeContainerGroupMetric",
        "eci:DescribeContainerGroupStatus",
        "eci:DescribeContainerGroups",
        "eci:DescribeContainerLog",
        "eci:DescribeInstanceOpsRecords",
        "eci:DescribeMultiContainerGroupMetric",
        "eci:DescribeVirtualNodes",
        "eci:ExportContainerGroupTemplate",
        "eci:ListUsage"
      ],
      "Resource": "*"
    }
  ]
}

    Lihat peran terkait layanan

    Setelah peran terkait layanan dibuat, Anda dapat mencarinya berdasarkan nama untuk melihat detailnya di Konsol RAM.

    • Informasi Dasar

      Di bagian Basic Information, Anda dapat melihat informasi dasar tentang peran, termasuk nama, waktu pembuatan, Nama Sumber Daya Alibaba Cloud (ARN), dan deskripsi.

    • Izin

      Di tab Permissions, klik nama kebijakan untuk melihat isi kebijakan dan sumber daya cloud yang dapat diakses oleh peran tersebut.

    • Kebijakan Kepercayaan

      Di tab Trust Policy, Anda dapat melihat isi kebijakan kepercayaan yang dilampirkan ke peran. Kebijakan kepercayaan menjelaskan entitas tepercaya dari RAM role. Entitas tepercaya merujuk pada entitas yang dapat mengasumsikan RAM role. Entitas tepercaya dari peran terkait layanan adalah layanan cloud. Anda dapat melihat nilai bidang Service dalam kebijakan kepercayaan untuk mendapatkan entitas tepercaya.

    Untuk informasi tentang cara melihat informasi tentang peran terkait layanan, lihat Lihat Informasi tentang RAM Role.

    Hapus peran terkait layanan

    Penting

    Setelah peran terkait layanan dihapus, fitur yang bergantung pada peran tersebut menjadi tidak tersedia. Lanjutkan dengan hati-hati.

    Jika Anda tidak lagi menggunakan E-HPC, hapus peran terkait layanan di Konsol RAM. Untuk informasi lebih lanjut, lihat Hapus RAM Role.

    Sebelum menghapus peran terkait layanan, perhatikan kondisi berikut:

    • Anda tidak lagi memerlukan peran terkait layanan untuk melakukan operasi seperti membuat kluster atau mengelola sumber daya cloud yang terkait dengan kluster.

    • Anda harus menghapus kluster E-HPC yang bergantung pada peran terkait layanan. Untuk informasi lebih lanjut, lihat Rilis Kluster.