Akses layanan Alibaba Cloud lainnya dengan menggunakan peran terkait layanan MSE - Microservices Engine

Peran terkait layanan Microservices Engine (MSE) adalah peran Resource Access Management (RAM) yang telah ditentukan sebelumnya untuk fitur-fitur tertentu. Dengan membuat dan memberikan peran ini kepada MSE, Anda memungkinkan MSE untuk secara otomatis memperoleh dan mengelola izin yang diperlukan, sehingga menghilangkan kebutuhan menetapkan kebijakan akses yang kompleks dan rentan kesalahan secara manual. Hal ini menyederhanakan pengelolaan izin sekaligus meningkatkan keamanan. Topik ini menjelaskan peran terkait layanan untuk MSE dan cara menghapusnya.

AliyunServiceRoleForMSE

Skenario

Ketika MSE perlu mengakses sumber daya dari layanan Alibaba Cloud lainnya, seperti Elastic Compute Service (ECS), Virtual Private Cloud (VPC), Application Real-Time Monitoring Service (ARMS), Server Load Balancer (SLB), Container Service for Kubernetes (ACK), Enterprise Distributed Application Service (EDAS), dan Alibaba Cloud Service Mesh (ASM), MSE menggunakan peran terkait layanan AliyunServiceRoleForMSE yang dibuat secara otomatis untuk memperoleh izin akses.

Deskripsi izin

Peran AliyunServiceRoleForMSE memiliki izin akses untuk layanan Alibaba Cloud berikut:

Izin akses untuk ECS

{
  "Action": [
    "ecs:CreateNetworkInterfacePermission",
    "ecs:DeleteNetworkInterfacePermission",
    "ecs:CreateNetworkInterface",
    "ecs:DescribeNetworkInterfaces",
    "ecs:DescribeSecurityGroups",
    "ecs:CreateSecurityGroup"
  ],
  "Resource": "*",
  "Effect": "Allow"
}

Izin akses untuk VPC

{
  "Action": [
    "vpc:DescribeVSwitches",
    "vpc:DescribeVpcs",
    "vpc:CreateVSwitch"
  ],
  "Resource": "*",
  "Effect": "Allow"
},

Izin akses untuk ARMS

   {
            "Action": [
                "arms:OpenArmsService",
                "arms:OpenArmsServiceSecondVersion",
                "arms:CheckServiceStatus",
                "arms:OpenVCluster",
                "arms:GetPrometheusApiToken",
                "arms:ListDashboards"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

Izin akses untuk SLB

  {
            "Action": [
                "slb:CreateLoadBalancer",
                "slb:AddBackendServers",
                "slb:SetBackendServers",
                "slb:RemoveBackendServers",
                "slb:CreateLoadBalancerTCPListener",
                "slb:DescribeLoadBalancerTCPListenerAttribute",
                "slb:SetLoadBalancerTCPListenerAttribute",
                "slb:CreateLoadBalancerHTTPListener",
                "slb:DescribeLoadBalancerHTTPListenerAttribute",
                "slb:SetLoadBalancerHTTPListenerAttribute",
                "slb:CreateLoadBalancerHTTPSListener",
                "slb:DescribeLoadBalancerHTTPSListenerAttribute",
                "slb:SetLoadBalancerHTTPSListenerAttribute",
                "slb:StartLoadBalancerListener",
                "slb:StopLoadBalancerListener",
                "slb:DeleteLoadBalancerListener",
                "slb:DescribeLoadBalancers",
                "slb:DescribeLoadBalancerAttribute",
                "slb:DescribeHealthStatus",
                "slb:CreateLoadBalancerForCloudService",
                "slb:DeleteLoadBalancer",
                "slb:ModifyLoadBalancerInternetSpec",
                "slb:RemoveTags",
                "slb:AddTags",
                "slb:SetLoadBalancerUDPListenerAttribute",
                "slb:CreateLoadBalancerUDPListener",
                "slb:CreateVServerGroup",
                "slb:DeleteVServerGroup",
                "slb:SetVServerGroupAttribute",
                "slb:ModifyVServerGroupBackendServers",
                "slb:AddVServerGroupBackendServers",
                "slb:ModifyLoadBalancerInstanceSpec",
                "slb:ModifyLoadBalancerInternetSpec",
                "slb:RemoveVServerGroupBackendServers",
                "slb:SetLoadBalancerModificationProtection",
                "slb:SetLoadBalancerDeleteProtection",
                "slb:DescribeLoadBalancerUDPListenerAttribute  ",
                "slb:DescribeTags",
                "slb:DescribeVServerGroups",
                "slb:DescribeVServerGroupAttribute",
                "slb:DescribeLoadBalancerListeners"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

ACK Access Permissions

   {
            "Action": [
                "cs:DescribeClusterInnerServiceKubeconfig",
                "cs:RevokeClusterInnerServiceKubeconfig",
                "cs:GetUserConfig",
                "cs:DescribeClusterUserKubeconfig",
                "cs:GetClusterById",
                "cs:GetClustersByUid",
                "cs:GetClusters",
                "cs:ListClusters",
                "cs:DescribeClusterNodes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

Izin akses EDAS

 {
            "Action": [
                "edas:ReadApplication",
                "edas:ReadCluster",
                "edas:ReadNamespace",
                "edas:ReadService",
                "edas:ListUserDefineRegion",
                "edas:GetSecureToken"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

Izin akses ASM

   {
            "Action": [
                "servicemesh:CreateServiceMesh",
                "servicemesh:DeleteServiceMesh",
                "servicemesh:DescribeServiceMeshDetail",
                "servicemesh:DescribeServiceMeshKubeconfig",
                "servicemesh:AddClusterIntoServiceMesh",
                "servicemesh:RemoveClusterFromServiceMesh",
                "servicemesh:InitializeASMRole",
                "servicemesh:InvokeApiServer"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

AliyunServiceRolePolicyForMSEEngineService

Skenario

Jika Anda ingin mengintegrasikan mesin Nacos dengan produk cloud lainnya, seperti Security Guardrail, Anda dapat menggunakan peran AliyunServiceRolePolicyForMSEEngineService.

Deskripsi izin

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "yundun-greenweb:MultiModalGuard",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "engine-service.mse.aliyuncs.com"
        }
      }
    }
  ]
}

Menghapus izin

Penting

Menghapus peran terkait layanan MSE mencegah Anda menggunakan fitur-fitur yang bergantung padanya. Tindakan ini dapat memengaruhi bisnis Anda. Evaluasi dampaknya dan lanjutkan dengan hati-hati.

Masuk ke Konsol Resource Access Management (RAM) menggunakan Akun Alibaba Cloud Anda. Di panel navigasi sebelah kiri, klik Identities > Roles.
Pada halaman Roles, masukkan nama peran, misalnya AliyunServiceRoleForMSE, di kotak pencarian untuk menemukan peran tersebut.
Dalam hasil pencarian, temukan peran tersebut dan klik Delete Role pada kolom Actions.
Pada kotak dialog Delete Role, masukkan nama peran dan klik Delete Role.

FAQ

Mengapa Pengguna RAM saya tidak dapat membuat peran terkait layanan AliyunServiceRoleForMSE secara otomatis?

Peran AliyunServiceRoleForMSE hanya dapat dibuat atau dihapus secara otomatis oleh pengguna dengan izin tertentu. Jika Pengguna RAM tidak dapat membuat peran AliyunServiceRoleForMSE secara otomatis, Anda harus menyambungkan kebijakan akses berikut ke pengguna tersebut.

Catatan

Ganti ID akun Alibaba Cloud dengan ID akun Alibaba Cloud Anda.

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID akun Alibaba Cloud:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "mse.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}