Peran terkait layanan - Managed Service for OpenTelemetry

Topik ini menjelaskan peran terkait layanan AliyunServiceRoleForXtrace untuk Managed Service for OpenTelemetry dan cara menghapus peran tersebut.

Informasi latar belakang

Peran terkait layanan AliyunServiceRoleForXtrace adalah peran Manajemen Akses Sumber Daya (RAM) yang diasumsikan oleh Managed Service for OpenTelemetry untuk mengakses layanan Alibaba Cloud lainnya guna mengimplementasikan fitur Managed Service for OpenTelemetry dalam skenario tertentu. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.

Skenario

Jika fitur pemantauan dari Managed Service for OpenTelemetry perlu mengakses sumber daya dari Container Service for Kubernetes (ACK), Log Service, Elastic Compute Service (ECS), dan Virtual Private Cloud (VPC), Managed Service for OpenTelemetry dapat mengasumsikan peran AliyunServiceRoleForXtrace yang dibuat secara otomatis untuk mendapatkan izin akses.

Izin

Izin untuk Mengakses Sumber Daya ACK

{
            "Action": [
                "cs:ScaleCluster",
                "cs:GetClusterById",
                "cs:GetClusters",
                "cs:GetUserConfig",
                "cs:CheckKritisInstall",
                "cs:GetKritisAttestationAuthority",
                "cs:GetKritisGenericAttestationPolicy",
                "cs:AttachInstances",
                "cs:InstallKritis",
                "cs:InstallKritisAttestationAuthority",
                "cs:InstallKritisGenericAttestationPolicy",
                "cs:UpdateClusterTags",
                "cs:UninstallKritis",
                "cs:DeleteKritisAttestationAuthority",
                "cs:DeleteKritisGenericAttestationPolicy",
                "cs:UpdateKritisAttestationAuthority",
                "cs:UpdateKritisGenericAttestationPolicy",
                "cs:UpgradeCluster",
                "cs:GetClusterLogs"
            ],
            "Resource": [
              "acs:cs:*:*:cluster/*"
            ],
            "Effect": "Allow"
        }

Izin untuk Mengakses Sumber Daya Log Service

{
       "Action": [
        "log:CreateProject",
        "log:GetProject",
        "log:GetLogStoreLogs",
        "log:GetHistograms",
        "log:GetLogStoreHistogram",
        "log:GetLogStore",
        "log:ListLogStores",
        "log:EnableService",
        "log:DescribeService",
        "log:CreateLogStore",
        "log:DeleteLogStore",
        "log:UpdateLogStore",
        "log:GetCursorOrData",
        "log:GetCursor",
        "log:PullLogs",
        "log:ListShards",
        "log:PostLogStoreLogs",
        "log:CreateConfig",
        "log:UpdateConfig",
        "log:DeleteConfig",
        "log:GetConfig",
        "log:ListConfig",
        "log:CreateMachineGroup",
        "log:UpdateMachineGroup",
        "log:DeleteMachineGroup",
        "log:GetMachineGroup",
        "log:ListMachineGroup",
        "log:ListMachines",
        "log:ApplyConfigToGroup",
        "log:RemoveConfigFromGroup",
        "log:GetAppliedMachineGroups",
        "log:GetAppliedConfigs",
        "log:GetShipperStatus",
        "log:RetryShipperTask",
        "log:CreateConsumerGroup",
        "log:UpdateConsumerGroup",
        "log:DeleteConsumerGroup",
        "log:ListConsumerGroup",
        "log:UpdateCheckPoint",
        "log:HeartBeat",
        "log:GetCheckPoint",
        "log:CreateIndex",
        "log:DeleteIndex",
        "log:GetIndex",
        "log:UpdateIndex",
        "log:CreateSavedSearch",
        "log:UpdateSavedSearch",
        "log:GetSavedSearch",
        "log:DeleteSavedSearch",
        "log:ListSavedSearch",
        "log:CreateDashboard",
        "log:UpdateDashboard",
        "log:GetDashboard",
        "log:DeleteDashboard",
        "log:ListDashboard",
        "log:CreateJob",
        "log:UpdateJob"
       }
]

Izin untuk Mengakses Sumber Daya ECS

{
       "Action": [
        "ecs:DescribeInstanceAutoRenewAttribute",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceStatus",
        "ecs:DescribeInstanceVncUrl",
        "ecs:DescribeSpotPriceHistory",
        "ecs:DescribeUserdata",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeDisks",
        "ecs:DescribeSnapshots",
        "ecs:DescribeAutoSnapshotPolicy",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeImages",
        "ecs:DescribeImageSharePermission",
        "ecs:DescribeClassicLinkInstances",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:DescribeSecurityGroupReferences",
        "ecs:RevokeSecurityGroup",
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeTags",
        "ecs:DescribeRegions",
        "ecs:DescribeZones",
        "ecs:DescribeInstanceMonitorData",
        "ecs:DescribeEipMonitorData",
        "ecs:DescribeDiskMonitorData",
        "ecs:DescribeInstanceTypes",
        "ecs:DescribeInstanceTypeFamilies",
        "ecs:DescribeTasks",
        "ecs:DescribeTaskAttribute",
        "ecs:DescribeInstanceAttribute",
        "ecs:InvokeCommand",
        "ecs:CreateCommand",
        "ecs:StopInvocation",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:DescribeInvocations",
        "ecs:DescribeInvocationResults",
        "ecs:ModifyCommand",
        "ecs:InstallCloudAssistant"
         ],
      "Resource": "*",
      "Effect": "Allow"
    }

Izin untuk Mengakses Sumber Daya VPC

{
       "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "vpc:DescribeEipAddresses",
        "vpc:DescribeRouterInterfaces",
        "vpc:DescribeGlobalAccelerationInstances",
        "vpc:DescribeVpnGateways",
        "vpc:DescribeNatGateways"
       ],
       "Resource": "*",
       "Effect": "Allow"
}

Izin untuk Mengakses dan Mengonfigurasi Sumber Daya Server Load Balancer (SLB)

{
       "Action": [
        "slb:DescribeLoadBalancers",
        "slb:DescribeLoadBalancerAttribute",
        "slb:SetLoadbalancerListenerAttributeEx",
        "slb:DescribeLoadbalancerListenersEx",
        "slb:DescribeLoadbalancerListenersEx",
        "slb:SetAccessLogsDownloadAttribute",
        "slb:DeleteAccessLogsDownloadAttribute",
        "slb:DescribeAccessLogsDownloadAttribute"
       ],
       "Resource": "*",
       "Effect": "Allow"
}

Hapus peran AliyunServiceRoleForXtrace

Untuk memastikan keamanan, Anda dapat menghapus peran AliyunServiceRoleForXtrace setelah mengaktifkan fitur pemantauan dari Managed Service for OpenTelemetry. Setelah penghapusan, data akun saat ini tidak dapat disimpan atau ditampilkan. Berhati-hatilah saat menghapus peran ini.

Untuk menghapus peran AliyunServiceRoleForXtrace, ikuti langkah-langkah berikut:

Catatan

Jika ada aplikasi di akun saat ini, Anda harus menghapus semua aplikasi sebelum dapat menghapus peran AliyunServiceRoleForXtrace.

Masuk ke Konsol RAM. Di panel navigasi kiri, pilih Identities > Roles.
Di halaman Roles, masukkan AliyunServiceRoleForXtrace di kotak pencarian. Peran RAM bernama AliyunServiceRoleForXtrace akan muncul di hasil pencarian.
Klik Delete Role di kolom Actions.
Di kotak dialog Delete Role, masukkan nama peran yang ingin dihapus, lalu klik Delete Role.
- Jika satu atau lebih aplikasi Managed Service for OpenTelemetry ada di akun saat ini, Anda harus menghapus aplikasi-aplikasi tersebut sebelum dapat menghapus peran AliyunServiceRoleForXtrace. Jika tidak, pesan kesalahan akan muncul.
- Jika semua aplikasi di akun saat ini telah dihapus, Anda dapat menghapus peran AliyunServiceRoleForXtrace.

FAQ

Mengapa sistem tidak dapat membuat peran terkait layanan AliyunServiceRoleForXtrace secara otomatis dan menetapkan peran tersebut ke pengguna RAM saya?

Agar sistem dapat membuat atau menghapus peran AliyunServiceRoleForXtrace secara otomatis, Anda harus memiliki izin yang diperlukan. Jika sistem tidak membuat peran AliyunServiceRoleForXtrace secara otomatis dan menetapkannya ke pengguna RAM Anda, lampirkan kebijakan berikut ke pengguna RAM Anda:

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID of your Alibaba Cloud account:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "xtrace.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}