Membuat, melihat, dan menghapus peran terkait layanan NAS - File Storage NAS

Untuk mengimplementasikan fitur sistem file, File Storage NAS (NAS) secara otomatis membuat peran terkait layanan untuk sistem file. Dengan cara ini, sistem file dapat mengakses layanan cloud lainnya seperti Elastic Compute Service (ECS) dan Virtual Private Cloud (VPC).

Informasi latar belakang

Peran terkait layanan adalah Resource Access Management (RAM) role yang entitas tepercayanya adalah layanan Alibaba Cloud. NAS menggunakan peran terkait layanan untuk mengakses layanan atau sumber daya cloud lainnya.

Dalam kebanyakan kasus, sistem secara otomatis membuat peran terkait layanan saat Anda melakukan suatu operasi. Namun, jika pembuatan otomatis gagal atau tidak didukung oleh NAS, Anda harus membuat peran terkait layanan secara manual.

RAM menyediakan kebijakan sistem untuk setiap peran terkait layanan. Kebijakan sistem tidak dapat dimodifikasi. Untuk melihat informasi tentang kebijakan sistem dari peran tertentu, kunjungi halaman detail peran tersebut.

Catatan

Untuk informasi lebih lanjut tentang peran terkait layanan, lihat Peran Terkait Layanan.

Skenario

Peran terkait layanan NAS digunakan dalam skenario berikut:

AliyunServiceRoleForNasStandard
Ketika Anda membuat titik pemasangan di jaringan klasik untuk sistem file NAS tujuan umum, Anda dapat menggunakan peran AliyunServiceRoleForNasStandard untuk mengakses ECS. Dengan cara ini, Anda dapat menanyakan daftar sumber daya dan menerapkan logika autentikasi.
AliyunServiceRoleForNasExtreme
Ketika Anda membuat titik pemasangan untuk sistem file NAS Extreme, Anda dapat menggunakan peran AliyunServiceRoleForNasExtreme untuk mengakses VPC dan ECS.
AliyunServiceRoleForNasEncryption
Ketika Anda membuat sistem file yang dienkripsi oleh Key Management Service (KMS), Anda dapat menggunakan peran AliyunServiceRoleForNasEncryption untuk mengakses KMS. Dengan cara ini, Anda dapat memperoleh kunci yang dikelola oleh KMS dan menambahkan tag ke kunci tersebut. Ini mencegah penghapusan tidak sengaja kunci yang digunakan untuk mengakses sistem file.
AliyunServiceRoleForNasLogDelivery
Ketika Anda mengaktifkan fitur analisis log untuk sistem file NAS, Anda dapat menggunakan peran AliyunServiceRoleForNasLogDelivery untuk mengakses Simple Log Service. Anda juga dapat membuat Proyek dan penyimpanan log di Simple Log Service serta mentransfer data log dari sistem file NAS ke penyimpanan log.
AliyunServiceRoleForNasBackup
Ketika Anda mengaktifkan fitur pencadangan file untuk sistem file NAS tujuan umum, Anda dapat menggunakan peran AliyunServiceRoleForNasBackup untuk mengaktifkan Cloud Backup dan membuat rencana cadangan.
AliyunServiceRoleForNasEcsHandler
Ketika Anda memasang sistem file di konsol NAS, Anda dapat menggunakan peran AliyunServiceRoleForNasEcsHandler untuk mengakses Cloud Assistant. Anda kemudian dapat menjalankan perintah Cloud Assistant pada satu atau lebih Instance ECS. Dengan cara ini, Anda dapat memasang atau melepas sistem file serta menanyakan status pemasangan Instance ECS.

Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.

Izin

Peran terkait layanan NAS memiliki izin berikut:

AliyunServiceRoleForNasStandard

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasExtreme

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasEncryption

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasLogDelivery

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasBackup

{
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}

AliyunServiceRoleForNasEcsHandler

{
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}

Izin yang diperlukan untuk pengguna RAM menggunakan peran terkait layanan

Jika Anda menggunakan pengguna RAM untuk membuat atau menghapus peran terkait layanan, Anda harus menghubungi administrator untuk memberikan izin AliyunNASFullAccess kepada pengguna RAM atau menambahkan izin berikut ke pernyataan Action dari kebijakan kustom:

Membuat peran terkait layanan: ram:CreateServiceLinkedRole
Menghapus peran terkait layanan: ram:DeleteServiceLinkedRole

Untuk informasi lebih lanjut, lihat Izin yang Diperlukan untuk Membuat dan Menghapus Peran Terkait Layanan.

Melihat peran terkait layanan

Setelah peran terkait layanan dibuat, Anda dapat melihat informasi berikut tentang peran tersebut di halaman Peran di konsol RAM dengan mencari nama peran, misalnya, AliyunServiceRoleForNasStandard.

Informasi Dasar
Di bagian Basic Information halaman detail untuk peran AliyunServiceRoleForNasStandard, lihat informasi dasar peran, termasuk nama peran, waktu pembuatan, Nama Sumber Daya Alibaba Cloud (ARN), dan deskripsi.
Kebijakan
Di tab Permissions halaman detail untuk peran AliyunServiceRoleForNasStandard, klik nama kebijakan untuk melihat isi kebijakan dan sumber daya cloud yang dapat diakses oleh peran tersebut.
Kebijakan Kepercayaan
Di tab Trust Policy halaman detail untuk peran AliyunServiceRoleForNasStandard, lihat isi kebijakan kepercayaan. Kebijakan kepercayaan menggambarkan entitas tepercaya dari RAM role. Entitas tepercaya adalah entitas yang dapat mengasumsikan RAM role. Entitas tepercaya dari peran terkait layanan adalah layanan cloud. Untuk mendapatkan entitas tepercaya dari peran terkait layanan, Anda dapat melihat nilai parameter Service dalam kebijakan kepercayaan.

Untuk informasi lebih lanjut tentang cara melihat informasi tentang peran terkait layanan, lihat Melihat Informasi tentang RAM Role.

Menghapus peran terkait layanan

Jika Anda tidak lagi memerlukan peran terkait layanan NAS, Anda dapat menghapus peran tersebut. Misalnya, Anda dapat menghapus peran AliyunServiceRoleForNasEncryption jika Anda tidak lagi perlu membuat sistem file yang dienkripsi oleh KMS. Sebelum menghapus peran terkait layanan NAS, Anda harus menghapus sistem file terkait. Untuk informasi lebih lanjut, lihat Menghapus Sistem File dan Menghapus Peran Terkait Layanan.

Penting

Setelah Anda menghapus peran terkait layanan, fitur yang bergantung pada peran tersebut tidak dapat digunakan. Lanjutkan dengan hati-hati.

Tanya Jawab Umum

Mengapa peran terkait layanan NAS tidak dibuat secara otomatis untuk pengguna RAM saya?

Sebelum pengguna RAM dapat membuat atau menghapus peran terkait layanan NAS, Anda harus memberikan izin yang diperlukan kepada pengguna RAM. Oleh karena itu, jika peran terkait layanan NAS tidak dibuat secara otomatis untuk pengguna RAM, Anda harus melampirkan kebijakan berikut ke pengguna RAM. Ganti ID akun Alibaba Cloud dengan ID akun sebenarnya. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:<Alibaba Cloud account ID>:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}