All Products
Search

This Product

    File Storage NAS:Peran terkait layanan untuk NAS

    Document Center

    File Storage NAS:Peran terkait layanan untuk NAS

    Last Updated:Apr 29, 2026

    NAS secara otomatis membuat peran terkait layanan saat Anda mengaktifkan fitur tertentu, memungkinkannya mengakses layanan Alibaba Cloud lainnya—seperti ECS dan VPC—tanpa perlu mengonfigurasi izin secara manual.

    Cara kerja

    Peran terkait layanan adalah jenis peran Resource Access Management (RAM) yang entitas tepercayanya merupakan layanan Alibaba Cloud. NAS menggunakan peran ini untuk mengakses layanan dan sumber daya cloud lainnya atas nama Anda, sehingga Anda tidak perlu mengonfigurasi izin secara manual.

    Umumnya, NAS akan membuat peran yang diperlukan secara otomatis saat dibutuhkan. Jika pembuatan peran gagal dilakukan secara otomatis atau jika NAS tidak mendukung pembuatan otomatis untuk peran tersebut, Anda harus membuat peran tersebut secara manual.

    Setiap peran terkait layanan dipetakan ke kebijakan sistem yang dikelola oleh RAM. Anda tidak dapat mengubah kebijakan ini. Untuk melihat isi kebijakan, buka halaman detail peran di Konsol RAM.

    Catatan

    Untuk informasi selengkapnya, lihat peran terkait layanan.

    Kasus penggunaan

    NAS secara otomatis membuat peran terkait layanan tertentu tergantung pada fitur yang Anda gunakan:

    Role

    Pemicu

    Layanan yang diakses

    AliyunServiceRoleForNasStandard

    Saat Anda membuat titik pemasangan di jaringan klasik untuk sistem file NAS general-purpose.

    ECS: Melakukan kueri daftar resource untuk mengotentikasi akses.

    AliyunServiceRoleForNasExtreme

    Saat Anda membuat titik pemasangan untuk sistem file NAS Ekstrem.

    VPC dan ECS

    AliyunServiceRoleForNasEncryption

    Saat Anda membuat sistem file yang dienkripsi dengan KMS.

    KMS: Mengambil informasi kunci dan menambahkan tag untuk mencegah penghapusan tidak disengaja.

    AliyunServiceRoleForNasLogDelivery

    Saat Anda mengaktifkan fitur analisis log NAS.

    Log Service: Membuat proyek dan penyimpanan log untuk menyimpan log.

    AliyunServiceRoleForNasBackup

    Saat Anda mengaktifkan fitur pencadangan file untuk sistem file general-purpose.

    Cloud Backup (HBR): Mengaktifkan layanan dan membuat backup plan.

    AliyunServiceRoleForNasEcsHandler

    Saat Anda menggunakan fitur pemasangan satu klik di Konsol NAS.

    Cloud Assistant: Menjalankan perintah pada instans ECS untuk memasang atau melepas sistem file serta melakukan kueri status pemasangan.

    Untuk informasi selengkapnya, lihat peran terkait layanan.

    Izin

    Izin untuk peran terkait layanan NAS adalah sebagai berikut:

    AliyunServiceRoleForNasStandard

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

    AliyunServiceRoleForNasExtreme

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

    AliyunServiceRoleForNasEncryption

    {
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}

    AliyunServiceRoleForNasLogDelivery

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

    AliyunServiceRoleForNasBackup

    {
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}

    AliyunServiceRoleForNasEcsHandler

    {
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}

    Izin yang diperlukan untuk Pengguna RAM

    Secara default, Pengguna RAM tidak memiliki izin untuk membuat atau menghapus peran terkait layanan. Untuk memberikan izin tersebut, mintalah administrator untuk menyambungkan kebijakan AliyunNASFullAccess ke Pengguna RAM, atau tambahkan izin berikut ke pernyataan Action dalam kebijakan kustom:

    • Membuat peran terkait layanan: ram:CreateServiceLinkedRole

    • Menghapus peran terkait layanan: ram:DeleteServiceLinkedRole

    Untuk petunjuk lengkap tentang cara memberikan izin, lihat Izin yang diperlukan untuk mengelola peran terkait layanan.

    Lihat peran terkait layanan

    Cari peran terkait layanan, seperti AliyunServiceRoleForNasStandard, di halaman Roles di Konsol RAM. Halaman detail peran menampilkan informasi berikut:

    • Informasi dasar

    Pada bagian Basic information, Anda dapat melihat nama peran, waktu pembuatan, ARN, dan deskripsi.

    • Kebijakan

    Di tab Permissions, klik nama kebijakan untuk melihat kebijakan dan sumber daya cloud yang dapat diakses oleh peran tersebut.

    • Kebijakan kepercayaan

    Di tab Trust policy, lihat kebijakan kepercayaan. Kebijakan kepercayaan menentukan entitas tepercaya mana yang dapat mengasumsikan peran tersebut. Entitas tepercaya untuk peran terkait layanan adalah layanan Alibaba Cloud, yang dapat Anda identifikasi dari bidang Service dalam kebijakan.

    Untuk petunjuk lengkap tentang cara melihat peran terkait layanan, lihat Lihat informasi tentang Peran RAM.

    Hapus peran terkait layanan

    Jika Anda tidak lagi menggunakan fitur yang memerlukan peran terkait layanan, kami menyarankan agar Anda menghapus peran tersebut. Misalnya, jika Anda tidak lagi membuat sistem file yang dienkripsi dengan KMS, Anda dapat menghapus peran AliyunServiceRoleForNasEncryption. Sebelum menghapus peran tersebut, Anda harus terlebih dahulu menghapus semua instans sistem file terkait. Untuk informasi selengkapnya, lihat Hapus sistem file dan Hapus peran terkait layanan.

    Penting

    Setelah Anda menghapus peran terkait layanan, fitur-fitur yang bergantung padanya tidak akan berfungsi lagi. Lakukan tindakan ini dengan hati-hati.

    FAQ

    Mengapa Pengguna RAM saya tidak dapat membuat peran terkait layanan NAS secara otomatis?

    Secara default, Pengguna RAM tidak memiliki izin untuk membuat peran terkait layanan. Untuk memberikan izin ini, sambungkan kebijakan berikut ke Pengguna RAM. Dalam kebijakan tersebut, ganti YOUR_ALIBABA_CLOUD_ACCOUNT_ID dengan ID akun Alibaba Cloud Anda. Untuk petunjuk lengkap, lihat Buat kebijakan kustom.

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:YOUR_ALIBABA_CLOUD_ACCOUNT_ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}