Topik ini menjelaskan Peran RAM yang secara otomatis dibuat di akun manajemen dan anggota Resource Directory.
Ikhtisar
Tabel berikut mencantumkan Peran RAM yang secara otomatis dibuat di akun manajemen dan anggota Resource Directory.
| Objek | Nama peran RAM | Jenis peran RAM |
| Akun manajemen | AliyunServiceRoleForResourceDirectory | Peran terkait layanan |
| Anggota | AliyunServiceRoleForResourceDirectory | Peran terkait layanan |
| ResourceDirectoryAccountAccessRole | Peran RAM yang entitas tepercayanya adalah akun Alibaba Cloud | |
| AliyunServiceRoleFor*** | Peran terkait layanan |
AliyunServiceRoleForResourceDirectory
Skenario penggunaan
Peran AliyunServiceRoleForResourceDirectory memberikan saluran akses untuk layanan tepercaya dalam Resource Directory. Resource Directory dapat mengasumsikan peran ini untuk membuat peran terkait layanan bagi layanan tepercaya tersebut. Dengan cara ini, layanan tepercaya dapat mengasumsikan peran terkait layanan yang telah dibuat untuk mengakses layanan cloud lainnya. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.
Kebijakan izin
Nama Kebijakan: AliyunServiceRolePolicyForResourceDirectory
Dokumen Kebijakan:
{
"Version": "1",
"Statement": [
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}
]
}Kebijakan kepercayaan
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"resourcemanager.aliyuncs.com"
]
}
}
],
"Version": "1"
}Buat peran
Sistem membuat peran AliyunServiceRoleForResourceDirectory dalam skenario berikut:
- Membuat peran di akun manajemen Resource Directory setelah Resource Directory diaktifkan.
- Membuat peran di anggota Resource Directory setelah anggota dibuat di Resource Directory.
- Membuat peran di akun yang diundang setelah akun bergabung dengan Resource Directory.
Hapus peran
Sistem mencoba menghapus peran AliyunServiceRoleForResourceDirectory dalam skenario berikut:
- Menghapus peran di akun manajemen Resource Directory ketika Resource Directory dinonaktifkan.
- Menghapus peran di anggota Resource Directory ketika anggota dihapus dari Resource Directory.
Jika peran tidak digunakan oleh sumber daya cloud, Anda dapat menghapus peran secara manual. Untuk informasi lebih lanjut, lihat Hapus Peran RAM.
ResourceDirectoryAccountAccessRole
Skenario penggunaan
Peran ResourceDirectoryAccountAccessRole digunakan oleh administrator Resource Directory untuk masuk ke anggota dan melakukan operasi manajemen. Entitas tepercaya dari peran ini adalah akun manajemen Resource Directory.
Kebijakan izin
Nama Kebijakan: AdministratorAccess
Dokumen Kebijakan:
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "1"
}Kebijakan kepercayaan
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::151266687691****:root" // 151266687691**** adalah ID dari akun manajemen.
]
}
}
],
"Version": "1"
}Buat peran
Sistem membuat peran ResourceDirectoryAccountAccessRole dalam skenario berikut:
- Membuat peran di anggota Resource Directory setelah anggota dibuat di Resource Directory.
- Membuat peran di akun yang diundang setelah akun bergabung dengan Resource Directory.
Hapus peran
Sistem menghapus peran ResourceDirectoryAccountAccessRole di anggota Resource Directory ketika anggota dihapus dari Resource Directory.
Jika tidak ada kebijakan izin yang dilampirkan pada peran, Anda dapat menghapus peran secara manual. Untuk informasi lebih lanjut, lihat Hapus Peran RAM.
AliyunServiceRoleFor***
Skenario penggunaan
Peran AliyunServiceRoleFor*** digunakan oleh layanan tepercaya untuk melaksanakan tugas terjadwal dan menyelesaikan masalah akses antara layanan tepercaya dan layanan Resource Directory. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.
Kebijakan izin
Kebijakan izin dirumuskan oleh layanan tepercaya. Dalam kebanyakan kasus, kebijakan izin berisi jenis izin berikut:
- Izin yang diperlukan oleh layanan tepercaya untuk melaksanakan tugas terjadwal pada layanan cloud tertentu.
- Izin yang diperlukan oleh layanan tepercaya untuk menghapus peran.
Kebijakan kepercayaan
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"***.aliyuncs.com" // Asterisk (*) menunjukkan layanan tepercaya. Contoh: config.aliyuncs.com.
]
}
}
],
"Version": "1"
}Buat peran
Ketika layanan tepercaya diaktifkan untuk Resource Directory, layanan Resource Directory mengasumsikan peran AliyunServiceRoleForResourceDirectory dan membuat peran AliyunServiceRoleFor*** di setiap anggota tempat layanan tepercaya diaktifkan di Resource Directory.
Hapus peran
Ketika anggota dihapus dari Resource Directory, Resource Directory menyiarkan acara ini ke layanan tepercaya terkait. Layanan tepercaya menentukan apakah akan menghapus peran AliyunServiceRoleFor*** dari anggota. Dalam kebanyakan kasus, layanan tepercaya menghapus peran. Namun, dalam beberapa kasus, layanan tepercaya mungkin tidak menghapus peran. Dalam kasus ini, Anda dapat masuk ke anggota dan menghapus peran secara manual. Untuk informasi lebih lanjut, lihat Hapus Peran RAM.