Otorisasi akses kluster E-HPC dengan membuat role layanan RAM - E-HPC

Saat menggunakan Elastic High Performance Computing (E-HPC), Anda harus membuat peran layanan AliyunECSInstanceForEHPCRole dan menyambungkan kebijakan AliyunECSInstanceForEHPCRolePolicy. Topik ini menjelaskan cara membuat, melihat, dan menghapus peran layanan tersebut.

Ikhtisar fungsi

Peran layanan adalah jenis peran Resource Access Management (RAM) yang dapat diasumsikan oleh layanan Alibaba Cloud untuk mengelola izin akses lintas berbagai layanan Alibaba Cloud. Untuk informasi selengkapnya, lihat Ikhtisar peran RAM.

Saat menggunakan E-HPC, sistem menyediakan peran layanan dan kebijakan sistem berikut:

Peran layanan: AliyunECSInstanceForEHPCRole
Kebijakan sistem: AliyunECSInstanceForEHPCRolePolicy

Skema penggunaan

AliyunECSInstanceForEHPCRole memberi otorisasi kepada node—yaitu instance Elastic Computing Service (ECS)—dalam kluster E-HPC untuk mengakses sumber daya cloud lainnya. Dengan peran ini, instance ECS memperoleh izin akses ke layanan ECS dan E-HPC.

Izin bagi Pengguna RAM untuk menggunakan peran layanan

Untuk membuat atau menghapus peran layanan sebagai Pengguna RAM, akun Alibaba Cloud terlebih dahulu harus memberikan izin yang diperlukan kepada Pengguna RAM tersebut.

Metode 1: Berikan kebijakan AliyunEHPCFullAccess. Kebijakan ini mencakup izin untuk membuat dan menghapus AliyunECSInstanceForEHPCRole.
Metode 2: Tambahkan izin berikut ke pernyataan Action dalam kebijakan kustom untuk Pengguna RAM:
- Membuat peran layanan: ram:CreateRole
- Menghapus peran layanan: ram:DeleteRole

Buat peran layanan

Saat menggunakan E-HPC, sistem akan memeriksa apakah AliyunECSInstanceForEHPCRole sudah ada di akun Anda. Jika belum ada, sebuah prompt akan muncul. Setelah Anda mengonfirmasi prompt tersebut, sistem secara otomatis akan membuat AliyunECSInstanceForEHPCRole dan menyambungkan AliyunECSInstanceForEHPCRolePolicy ke peran tersebut.

AliyunECSInstanceForEHPCRole telah memiliki kebijakan sistem AliyunECSInstanceForEHPCRolePolicy yang disambungkan. Anda tidak dapat mengubah kebijakan sistem ini, tetapi dapat menyambungkan kebijakan akses tambahan ke peran tersebut.

Klik untuk melihat isi kebijakan AliyunECSInstanceForEHPCRolePolicy

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:StartInstances",
                "ecs:StopInstances",
                "ecs:DeleteInstances",
                "ecs:DescribeInstances",
                "cms:QueryMetricLast",
                "cms:QueryMetricList",
                "ess:DescribeScalingConfigurations",
                "ess:ModifyScalingConfiguration",
                "ess:ModifyScalingRule",
                "ess:ExecuteScalingRule",
                "ess:RemoveInstances",
                "oss:PutObject",
                "oss:GetObject",
                "oss:ListObjects",
                "oss:ListBuckets",
                "ehpc:*",
                "ecs:CreateCommand",
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:DescribeCommands",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:ListSecurityGroups",
                "ecs:AuthorizeSecurityGroup"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Lihat peran layanan

Setelah peran layanan dibuat, Anda dapat membuka halaman Roles di Konsol RAM dan mencari AliyunECSInstanceForEHPCRole untuk melihat detailnya.

Informasi dasar
Pada bagian Basic Information di halaman detail peran, Anda dapat melihat informasi dasar tentang peran tersebut, seperti nama, waktu pembuatan, ARN, dan deskripsi.
Kebijakan izin
Pada tab Permission Management di halaman detail peran, Anda dapat mengklik nama kebijakan untuk melihat isi kebijakan dan sumber daya cloud yang dapat diakses oleh peran tersebut.
Kebijakan kepercayaan
Pada tab Trust Policy di halaman detail peran, Anda dapat melihat dokumen kebijakan kepercayaan. Kebijakan kepercayaan menentukan entitas tepercaya yang dapat mengasumsikan peran RAM tersebut. Untuk peran layanan, entitas tepercayanya adalah layanan Alibaba Cloud, yang dapat Anda lihat pada bidang Service dalam kebijakan kepercayaan.

Untuk informasi selengkapnya, lihat Lihat peran RAM.

Batasan dan ekstensi izin

Penting

Jangan lepas atau ganti AliyunECSInstanceForEHPCRole dari node bidang kontrol atau node logon di Konsol ECS. Melepas peran ini dari node bidang kontrol akan menonaktifkan skalabilitas otomatis untuk kluster tersebut. Melepasnya dari node logon menyebabkan fitur Web Portal tidak berfungsi.

Menyambungkan kebijakan kustom ke peran layanan

Untuk memberikan izin tambahan kepada node dalam melakukan panggilan API, sambungkan kebijakan kustom ke peran AliyunECSInstanceForEHPCRole alih-alih melepas atau menggantinya. Ikuti langkah-langkah berikut:

Login ke Konsol RAM.
Pada panel navigasi sebelah kiri, pilih Identity Management > Roles.
Pada daftar peran, cari dan klik AliyunECSInstanceForEHPCRole.
Pada tab Permission Management, klik Grant Permission, lalu pilih atau buat kebijakan kustom yang diperlukan.
Klik OK untuk menyelesaikan otorisasi.

Untuk informasi selengkapnya tentang kebijakan kustom, lihat Elemen dasar kebijakan akses.

Hapus peran layanan

Penting

Setelah Anda menghapus peran layanan, fitur-fitur yang bergantung padanya tidak akan berfungsi lagi. Lakukan dengan hati-hati.

Jika Anda tidak berencana menggunakan E-HPC dalam jangka waktu lama, Anda dapat menghapus peran layanan ini secara manual di Konsol RAM. Untuk langkah-langkah detailnya, lihat Hapus peran RAM.

Sebelum menghapus AliyunECSInstanceForEHPCRole, pastikan kondisi berikut terpenuhi:

Anda tidak lagi membutuhkan peran layanan ini. Misalnya, Anda tidak berencana membuat kluster atau mengelola node kluster.
Anda telah menghapus semua kluster E-HPC yang bergantung pada peran layanan ini. Untuk informasi selengkapnya, lihat Lepaskan kluster.