Resource Access Management：Peran terkait layanan

Apa itu peran terkait layanan

Sebuah layanan Alibaba Cloud mungkin memerlukan akses ke layanan lain untuk mengimplementasikan fitur tertentu. Dalam hal ini, layanan tersebut harus diberi otorisasi untuk mengakses layanan-layanan tersebut. Sebagai contoh, Cloud Config membutuhkan akses ke layanan seperti Elastic Compute Service (ECS) dan ApsaraDB RDS untuk membaca informasi sumber daya cloud Anda, seperti daftar sumber daya dan data log. Untuk memenuhi persyaratan ini, Alibaba Cloud menyediakan peran terkait layanan.

Peran terkait layanan adalah peran RAM yang telah ditentukan sebelumnya oleh dan terhubung dengan layanan Alibaba Cloud, sehingga menyederhanakan proses otorisasi lintas layanan. Dalam kebanyakan kasus, layanan terkait secara otomatis membuat atau menghapus peran saat Anda menggunakan fitur tertentu. Peran terkait layanan mempermudah pemberian otorisasi layanan untuk mengakses layanan lain serta mengurangi risiko kesalahan konfigurasi.

Kebijakan yang disambungkan ke peran terkait layanan telah ditentukan sebelumnya oleh layanan terkait. Anda tidak dapat memodifikasi atau menghapus kebijakan tersebut, dan Anda juga tidak dapat menyambungkan atau melepas kebijakan dari peran terkait layanan.

Membuat peran terkait layanan

Beberapa layanan Alibaba Cloud secara otomatis membuat peran terkait layanan ketika Anda melakukan operasi tertentu, seperti membuat sumber daya cloud atau mengaktifkan fitur. Anda dapat melihat peran terkait layanan yang dibuat di halaman Peran RAM pada Konsol RAM, atau dalam tanggapan dari panggilan API atau CLI ke ListRoles.

Anda juga dapat membuat peran terkait layanan secara manual. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Layanan Alibaba Cloud Tepercaya.

Menghapus peran terkait layanan

Beberapa layanan Alibaba Cloud secara otomatis menghapus peran terkait layanan ketika Anda melakukan operasi tertentu, seperti menghapus sumber daya cloud atau menonaktifkan fitur. Namun, Anda juga dapat menghapus peran tersebut secara manual di Konsol RAM. Untuk informasi lebih lanjut, lihat Hapus Peran RAM.

Saat Anda mencoba menghapus peran terkait layanan, RAM pertama-tama memeriksa apakah peran tersebut masih digunakan oleh sumber daya cloud:

• Jika peran tidak sedang digunakan, Anda dapat menghapusnya.

• Jika peran masih digunakan, penghapusan akan gagal. Pesan kesalahan akan menunjukkan sumber daya mana yang menggunakan peran tersebut. Anda harus menghapus sumber daya ini sebelum Anda dapat menghapus peran terkait layanan.

Izin yang diperlukan untuk membuat dan menghapus peran terkait layanan

Pengguna RAM memerlukan izin khusus untuk membuat atau menghapus peran terkait layanan. Izin tersebut juga diperlukan ketika peran terkait layanan dibuat secara otomatis.

Contoh kebijakan berikut memberikan izin kepada pengguna RAM untuk membuat dan menghapus peran terkait layanan untuk Resource Management. Anda dapat melihat nilai dari ram:ServiceName di kolom Service identifier dari Layanan yang Bekerja dengan Peran Terkait Layanan.

{
    "Action": [
        "ram:CreateServiceLinkedRole",
        "ram:DeleteServiceLinkedRole"
    ],
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "resourcemanager.aliyuncs.com"
        }
    }
}

Mengasumsikan peran terkait layanan

Peran terkait layanan hanya dapat diasumsikan oleh layanan terkait. Peran tersebut tidak dapat diasumsikan oleh identitas seperti pengguna RAM atau peran RAM lainnya.

Anda dapat melihat layanan yang dapat mengasumsikan peran terkait layanan di parameter Service pada tab Trust Policy halaman detail peran.

Layanan yang mendukung peran terkait layanan

Untuk daftar layanan cloud yang mendukung peran terkait layanan, lihat Layanan yang Bekerja dengan Peran Terkait Layanan.

Untuk layanan cloud yang tidak mendukung peran terkait layanan, Anda dapat menggunakan peran layanan normal untuk memberi mereka otorisasi.