Kasus penggunaan izin dan manajemen role yang terkait layanan - ApsaraDB RDS

Topik ini menjelaskan skenario penggunaan peran terkait layanan yang didukung oleh ApsaraDB RDS serta cara menghapus peran tersebut.

Informasi latar belakang

ApsaraDB RDS mendukung peran terkait layanan berikut:

AliyunServiceRoleForRds, digunakan untuk ApsaraDB RDS for MySQL
AliyunServiceRoleForRdsPgsqlOnEcs, digunakan untuk ApsaraDB RDS for PostgreSQL
AliyunServiceRoleForRDSProxyOnEcs, digunakan untuk fitur proksi database dari ApsaraDB RDS for PostgreSQL

ApsaraDB RDS mungkin memerlukan akses ke layanan Alibaba Cloud lainnya untuk menyediakan fitur tertentu. Anda dapat menetapkan peran terkait layanan kepada ApsaraDB RDS untuk mendapatkan izin yang diperlukan guna mengakses layanan Alibaba Cloud lainnya. Peran terkait layanan adalah Peran RAM. Untuk informasi lebih lanjut, lihat Peran terkait layanan.

Pengenalan peran terkait layanan

AliyunServiceRoleForRds

Nama

AliyunServiceRoleForRds

Kebijakan terlampir

AliyunServiceRolePolicyForRds

Izin

Dokumen kebijakan AliyunServiceRoleForRds

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress",
                "ecs:DescribeKeyPairs",
                "ecs:ModifyImageSharePermission",
                "ecs:DescribeImages"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:AssociateEipAddress",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "rds-ecs-service.rds.aliyuncs.com"
                }
            }
        }
    ]
}

Buat peran

Peran terkait layanan ini digunakan untuk memberi otorisasi pada ApsaraDB RDS for MySQL. Anda dapat membuat peran di konsol saat membuat basis data. Untuk informasi lebih lanjut, lihat Buat basis data.

Hapus peran

Sebelum menghapus peran terkait layanan, Anda harus menghapus semua basis data yang bergantung pada peran tersebut.

Untuk informasi lebih lanjut tentang cara menghapus basis data RDS for MySQL, lihat Hapus basis data.
Untuk informasi lebih lanjut tentang cara menghapus peran terkait layanan, lihat Peran terkait layanan.

AliyunServiceRoleForRdsPgsqlOnEcs

Nama

AliyunServiceRoleForRdsPgsqlOnEcs

Kebijakan terlampir

AliyunServiceRolePolicyForRdsPgsqlOnEcs

Izin

Dokumen kebijakan AliyunServiceRoleForRdsPgsqlOnEcs

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Listkeys",
                "kms:Listaliases",
                "kms:ListResourceTags",
                "kms:DescribeKey",
                "kms:UntagResource",
                "kms:TagResource",
                "kms:DescribeAccountKmsStatus"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "pgsql-onecs.rds.aliyuncs.com"
                }
            }
        }
    ]
}

Buat peran

Peran terkait layanan ini digunakan untuk Otorisasi SLR instance RDS for PostgreSQL. Anda dapat melakukan otorisasi SLR di konsol saat membuat instance RDS for PostgreSQL. Untuk informasi lebih lanjut, lihat Buat instance ApsaraDB RDS for PostgreSQL.

Hapus peran

Sebelum menghapus peran terkait layanan, Anda harus melepaskan semua instance yang terkait dengan peran tersebut.

Untuk informasi lebih lanjut tentang cara melepaskan instance ApsaraDB RDS for PostgreSQL, lihat Lepas atau berhenti berlangganan instance ApsaraDB RDS for PostgreSQL.
Untuk informasi lebih lanjut tentang cara menghapus peran terkait layanan, lihat Peran terkait layanan.

AliyunServiceRoleForRDSProxyOnEcs

Nama

AliyunServiceRoleForRDSProxyOnEcs

Kebijakan terlampir

AliyunServiceRolePolicyForRDSProxyOnEcs

Izin

Dokumen kebijakan AliyunServiceRoleForRDSProxyOnEcs

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "rdsproxy-onecs.rds.aliyuncs.com"
                }
            }
        }
    ]
}

Buat peran

Peran terkait layanan ini digunakan untuk memberi otorisasi pada fitur proksi database dari ApsaraDB RDS for PostgreSQL. Anda dapat membuat peran di konsol saat mengaktifkan fitur proksi database untuk instance RDS Anda. Untuk informasi lebih lanjut, lihat Aktifkan fitur proksi database.

Hapus peran

Sebelum menghapus peran terkait layanan, Anda harus menonaktifkan fitur proksi database yang bergantung pada peran tersebut.

Untuk informasi lebih lanjut tentang cara menonaktifkan fitur proksi database untuk instance RDS, lihat Nonaktifkan fitur proksi database.
Untuk informasi lebih lanjut tentang cara menghapus peran terkait layanan, lihat Peran terkait layanan.

Operasi terkait

Anda dapat memanggil operasi CreateServiceLinkedRole untuk membuat peran terkait layanan untuk instance ApsaraDB RDS. Tabel berikut menjelaskan parameter yang diperlukan.

Parameter

Deskripsi

Contoh

RegionId

ID wilayah tempat instance berada. Anda dapat memanggil operasi DescribeRegions untuk menanyakan daftar wilayah terbaru.

cn-hangzhou

ServiceLinkedRole

Nama peran terkait layanan.

AliyunServiceRoleForRds: peran terkait layanan untuk ApsaraDB RDS for MySQL
AliyunServiceRoleForRdsPgsqlOnEcs: peran terkait layanan untuk ApsaraDB RDS for PostgreSQL.
AliyunServiceRoleForRDSProxyOnEcs: peran terkait layanan untuk fitur proksi database dari ApsaraDB RDS for PostgreSQL.

AliyunServiceRoleForRdsPgsqlOnEcs