Topik ini menjelaskan skenario penggunaan peran terkait layanan IDaaS EIAM (AliyunServiceRoleForEiam) dan cara menghapus peran tersebut.
Informasi latar belakang
Peran terkait layanan IDaaS EIAM (AliyunServiceRoleForEiam) adalah Peran RAM yang digunakan oleh IDaaS EIAM untuk mengakses layanan Alibaba Cloud lainnya guna mendukung fitur-fitur tertentu. Untuk informasi selengkapnya tentang peran terkait layanan, lihat Peran terkait layanan.
Skenario
Fitur dedicated endpoints IDaaS EIAM mengakses resource cloud ECS dan VPC Anda. Hal ini memungkinkan IDaaS mengelola elastic network interfaces (ENIs) tambahan yang dibuatnya. Dengan izin ini, IDaaS dapat menggunakan PrivateLink untuk terhubung ke Active Directory (AD), LDAP, atau aplikasi lain dalam VPC tanpa membuka port publik. IDaaS juga dapat mengakses Internet melalui alamat IP dedicated endpoint untuk memenuhi persyaratan IP tepercaya dari WeCom.
Fitur credential management IDaaS EIAM mengakses resource cloud KMS Anda. Hal ini memungkinkan IDaaS menyimpan kredensial secara aman di Secrets Manager untuk penyimpanan dan manajemen yang aman.
Pengenalan AliyunServiceRoleForEiam
Nama peran: AliyunServiceRoleForEiam
Kebijakan akses: AliyunServiceRolePolicyForEiam
Izin:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:ModifyNetworkInterfaceAttribute",
"ecs:DescribeNetworkInterfaceAttribute",
"ecs:CreateSecurityGroup",
"ecs:RevokeSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:DescribeSecurityGroups",
"ecs:DescribeSecurityGroupAttribute",
"ecs:DescribeSecurityGroupReferences",
"ecs:ModifySecurityGroupAttribute",
"ecs:ModifySecurityGroupRule",
"ecs:DetachNetworkInterface",
"ecs:AttachNetworkInterface",
"ecs:ModifySecurityGroupPolicy",
"ecs:AuthorizeSecurityGroup",
"ecs:DescribeInstances",
"ecs:DescribeImages",
"ecs:DescribeZones",
"ecs:DescribeRegions",
"ecs:DescribeTags"
],
"Resource": "",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"vpc:DescribeNatGateways",
"vpc:DescribeSnatTableEntries"
],
"Resource": "",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"kms:CreateSecret",
"kms:DeleteSecret",
"kms:DescribeSecret",
"kms:PutSecretValue",
"kms:UpdateSecret",
"kms:UpdateSecretVersionStage",
"kms:ListSecretVersionIds",
"kms:GetSecretValue"
],
"Resource": [
"acs:kms:::secret/idaas-eiam!"
]
},
{
"Effect": "Allow",
"Action": [
"kms:ListManagedQuotas",
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:TagResource",
"kms:UntagResource"
],
"Resource": [
""
]
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "eiam.aliyuncs.com"
}
}
}
]
}Hapus peran terkait layanan
Sebelum menghapus peran terkait layanan AliyunServiceRoleForEiam, release semua instans IDaaS EIAM.
Untuk menghapus instans IDaaS EIAM, lihat Release an instance.
Untuk menghapus peran terkait layanan, lihat Delete a service-linked role.