Peran terkait layanan AliyunServiceRoleForGaAlb: izin yang diperlukan, pembuatan otomatis, dan penghapusan. - Global Accelerator

Saat Anda mengonfigurasi Application Load Balancer (ALB) sebagai titik akhir untuk Global Accelerator, sistem akan secara otomatis membuat peran terkait layanan AliyunServiceRoleForGaAlb jika peran tersebut belum tersedia.

Pengenalan AliyunServiceRoleForGaAlb

AliyunServiceRoleForGaAlb adalah peran terkait layanan (SLR) yang diperlukan oleh Global Accelerator untuk menambahkan ALB sebagai titik akhir.

Catatan

Peran terkait layanan adalah Resource Access Management (RAM) role yang dikaitkan dengan layanan Alibaba Cloud. Beberapa layanan cloud memerlukan izin untuk mengakses layanan lain. Peran terkait layanan menyederhanakan otorisasi ini dan membantu mencegah operasi yang tidak disengaja. Untuk informasi selengkapnya, lihat Service-linked roles.

Izin yang diperlukan untuk membuat peran terkait layanan AliyunServiceRoleForGaAlb

Akun Alibaba Cloud dapat membuat peran terkait layanan AliyunServiceRoleForGaAlb secara default. Pengguna RAM harus memiliki izin berikut:

{
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "alb.ga.aliyuncs.com"
        }
      }
}

Anda dapat memberikan izin yang diperlukan kepada Pengguna RAM dengan cara berikut:

Menyambungkan kebijakan administratif AliyunGlobalAccelerationFullAccess ke Pengguna RAM. Untuk informasi selengkapnya, lihat Manage permissions for a RAM role.
Catatan Kebijakan administratif AliyunGlobalAccelerationFullAccess mencakup izin untuk membuat peran terkait layanan ini. Setiap pengguna dengan izin administratif Global Accelerator dapat membuatnya.

Membuat kebijakan kustom dan menyambungkannya ke Pengguna RAM. Kebijakan kustom tersebut harus mencakup izin berikut:

{
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "alb.ga.aliyuncs.com"
        }
      }
}

Untuk informasi selengkapnya, lihat Create a custom policy dan Manage permissions for a RAM role.

Membuat peran terkait layanan AliyunServiceRoleForGaAlb

Saat Anda mengonfigurasi ALB sebagai titik akhir untuk Global Accelerator, sistem akan memeriksa apakah peran terkait layanan AliyunServiceRoleForGaAlb sudah ada:

Jika peran terkait layanan AliyunServiceRoleForGaAlb belum ada, sistem akan secara otomatis membuatnya dan menyambungkan kebijakan akses bernama AliyunServiceRoleForGaAlb ke peran tersebut. Kebijakan ini memberikan izin kepada Global Accelerator untuk mengakses ALB:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "alb:GetLoadBalancerAttribute",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "alb.ga.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}

Jika peran terkait layanan AliyunServiceRoleForGaAlb sudah ada, sistem tidak akan membuatnya kembali.

Menghapus peran terkait layanan AliyunServiceRoleForGaAlb

Peran terkait layanan AliyunServiceRoleForGaAlb tidak dihapus secara otomatis. Untuk menghapus peran tersebut, pertama-tama hapus semua titik akhir ALB, lalu hapus peran terkait layanan tersebut: