Serverless App Engine (SAE) menggunakan peran terkait layanan AliyunServiceRoleForSAE untuk mengakses layanan Alibaba Cloud lainnya atas nama Anda. Halaman ini menjelaskan fungsi peran tersebut, izin yang dimilikinya, serta cara membuat atau menghapusnya.
Fungsi peran
Saat SAE menjalankan aplikasi Anda, SAE perlu berinteraksi secara otomatis dengan layanan Alibaba Cloud lainnya—misalnya, melakukan kueri detail VPC dan vSwitch saat Anda menyebar aplikasi, atau menyediakan antarmuka jaringan untuk jaringan kontainer. Peran terkait layanan AliyunServiceRoleForSAE memberikan izin yang dibutuhkan SAE untuk menjalankan tugas-tugas tersebut tanpa mewajibkan Anda mengonfigurasi akses lintas layanan secara manual.
Kebijakan terlampir AliyunServiceRolePolicyForSAE telah ditentukan sebelumnya oleh SAE. Anda tidak dapat memodifikasi atau menghapus kebijakan ini, serta tidak dapat menyambungkan atau melepas kebijakan dari peran ini. Untuk informasi latar belakang tentang cara kerja peran terkait layanan di RAM, lihat Peran terkait layanan.
Izin
Peran ini memberikan izin kepada SAE di area fungsional berikut:
| Area fungsional | Layanan | Apa yang dilakukan SAE |
|---|---|---|
| Infrastruktur jaringan | ECS, VPC | Membuat dan mengelola Elastic Network Interfaces (ENI) untuk menghubungkan instans aplikasi ke virtual private cloud (VPC) Anda, serta mengelola aturan security group untuk mengontrol lalu lintas inbound dan outbound. Membaca metadata vSwitch dan VPC untuk memvalidasi konfigurasi jaringan saat Anda membuat atau memperbarui aplikasi. |
| Load balancing | SLB | Membuat dan mengonfigurasi instans Server Load Balancer (SLB), listener, kelompok VServer, dan server backend untuk mengarahkan traffic ke aplikasi Anda. |
| Penyimpanan file | NAS | Menyediakan dan mengelola sistem file NAS, titik pemasangan, kelompok akses, serta aturan akses untuk mendukung penyimpanan persisten bagi aplikasi yang memerlukan akses file bersama. |
| Container Registry | CR | Melakukan autentikasi dengan Container Registry dan menarik gambar kontainer saat menyebarkan aplikasi berbasis kontainer. |
| Pencatatan log | Log Service | Membuat dan mengelola proyek Log Service, penyimpanan log, kelompok mesin, serta konfigurasi untuk mengumpulkan dan mengirim log aplikasi. |
| Pemantauan | ARMS | Melakukan kueri metrik dari ARMS untuk mendukung fitur pemantauan. |
| Operasi otomatis | OOS | Membuat dan menjalankan eksekusi serta templat OOS untuk mendukung operasi otomatis seperti restart batch dan penyebaran bergulir. |
| Identitas | RAM | Membaca informasi peran RAM untuk memverifikasi identitas dan konfigurasi izin. |
| Sertifikat SSL | yundun-cert | Membaca daftar dan detail sertifikat SSL Anda untuk mengonfigurasi listener HTTPS pada load balancer. |
| Penagihan | BSS | Melakukan kueri informasi harga dan instans untuk mendukung alur kerja penyediaan resource. |
Dokumen kebijakan lengkap
Nama peran: AliyunServiceRoleForSAE
Nama kebijakan: AliyunServiceRolePolicyForSAE
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:AttachNetworkInterface",
"ecs:DetachNetworkInterface",
"ecs:CreateNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:DeleteNetworkInterfacePermission",
"ecs:ModifyNetworkInterfaceAttribute",
"ecs:JoinSecurityGroup",
"ecs:LeaveSecurityGroup",
"ecs:CreateSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:DescribeSecurityGroupAttribute",
"ecs:DescribeSecurityGroups",
"ecs:RevokeSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:ModifySecurityGroupAttribute",
"ecs:AuthorizeSecurityGroupEgress",
"ecs:RevokeSecurityGroupEgress",
"ecs:ModifySecurityGroupRule",
"ecs:DescribeSecurityGroupReferences",
"ecs:ModifySecurityGroupPolicy"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"slb:AddTags",
"slb:CreateLoadBalancer",
"slb:ModifyLoadBalancerInternetSpec",
"slb:DeleteLoadBalancer",
"slb:SetLoadBalancerStatus",
"slb:SetLoadBalancerName",
"slb:DescribeLoadBalancers",
"slb:DescribeLoadBalancerAttribute",
"slb:ModifyLoadBalancerPayType",
"slb:ModifyLoadBalancerInstanceSpec",
"slb:CreateLoadBalancerHTTPListener",
"slb:CreateLoadBalancerHTTPSListener",
"slb:CreateLoadBalancerTCPListener",
"slb:CreateLoadBalancerUDPListener",
"slb:DeleteLoadBalancerListener",
"slb:StartLoadBalancerListener",
"slb:StopLoadBalancerListener",
"slb:SetLoadBalancerHTTPListenerAttribute",
"slb:SetLoadBalancerHTTPSListenerAttribute",
"slb:SetLoadBalancerTCPListenerAttribute",
"slb:SetLoadBalancerUDPListenerAttribute",
"slb:SetListenerAccessControlStatus",
"slb:DescribeLoadBalancerHTTPListenerAttribute",
"slb:DescribeLoadBalancerHTTPListenerAttributes",
"slb:DescribeLoadBalancerHTTPSListenerAttribute",
"slb:DescribeLoadBalancerTCPListenerAttribute",
"slb:DescribeLoadBalancerUDPListenerAttribute",
"slb:DescribeListenerAccessControlAttribute",
"slb:AddListenerWhiteListItem",
"slb:RemoveListenerWhiteListItem",
"slb:AddBackendServers",
"slb:RemoveBackendServers",
"slb:SetBackendServers",
"slb:DescribeHealthStatus",
"slb:UploadServerCertificate",
"slb:DeleteServerCertificate",
"slb:DescribeServerCertificates",
"slb:SetServerCertificateName",
"slb:DescribeRegions",
"slb:CreateVServerGroup",
"slb:DescribeVServerGroupAttribute",
"slb:DescribeVServerGroups",
"slb:AddVServerGroupBackendServers",
"slb:SetVServerGroupAttribute",
"slb:RemoveVServerGroupBackendServers",
"slb:DescribeRules",
"slb:SetRule",
"slb:CreateRules",
"slb:DeleteRules",
"slb:DescribeTags",
"slb:DeleteVServerGroup"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"nas:DescribeRegions",
"nas:CreateFileSystem",
"nas:DeleteFileSystem",
"nas:DescribeFileSystems",
"nas:ModifyFileSystem",
"nas:CreateMountTarget",
"nas:DeleteMountTarget",
"nas:DescribeMountTargets",
"nas:ModifyMountTarget",
"nas:CreateAccessGroup",
"nas:DeleteAccessGroup",
"nas:DescribeAccessGroups",
"nas:ModifyAccessGroup",
"nas:CreateAccessRule",
"nas:DeleteAccessRule",
"nas:DescribeAccessRules",
"nas:ModifyAccessRule",
"nas:SetUserVolumeCountLimit"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVSwitches",
"vpc:DescribeVpcs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cr:GetUserInfo",
"cr:GetRegionList",
"cr:GetNamespaceList",
"cr:GetRepoListByNamespace",
"cr:GetRepoTags",
"cr:GetRepoList",
"cr:GetRepo",
"cr:GetAuthorizationToken",
"cr:PullRepository",
"cr:CreateRepository",
"cr:DeleteRepositoryTag",
"cr:PushRepository",
"cr:DeleteRepository",
"cr:UpdateRepository"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ram:GetRole"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:GetLogStore",
"log:ListLogStores",
"log:CreateLogStore",
"log:DeleteLogStore",
"log:UpdateLogStore",
"log:GetCursorOrData",
"log:ListShards",
"log:PostLogStoreLogs",
"log:CreateConfig",
"log:UpdateConfig",
"log:DeleteConfig",
"log:GetConfig",
"log:ListConfig",
"log:CreateMachineGroup",
"log:UpdateMachineGroup",
"log:DeleteMachineGroup",
"log:GetMachineGroup",
"log:ListMachineGroup",
"log:ListMachines",
"log:ApplyConfigToGroup",
"log:RemoveConfigFromGroup",
"log:GetAppliedMachineGroups",
"log:GetAppliedConfigs",
"log:GetLogStoreLogs",
"log:GetLogStoreHistogram",
"log:CreateProject",
"log:GetProject",
"log:GetIndex",
"log:CreateIndex",
"log:DeleteIndex",
"log:UpdateIndex",
"log:GetMachineGroups",
"log:RemoveConfigFromMachineGroup",
"log:DeleteProject"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"yundun-cert:DescribeUserCertificateList",
"yundun-cert:DescribeUserCertificateDetail"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"bss:DescribePrice",
"bss:DescribeInstances"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"arms:QueryMetric"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"oos:ListExecutions",
"oos:StartExecution",
"oos:DeleteExecutions",
"oos:CancelExecution",
"oos:GetTemplate",
"oos:CreateTemplate",
"oos:UpdateTemplate"
],
"Resource": "*",
"Effect": "Allow"
}
]
}Membuat peran terkait layanan
SAE secara otomatis membuat AliyunServiceRoleForSAE saat Anda login ke Konsol SAE. Jika peran tersebut belum ada, kotak dialog Welcome to Serverless App Engine (SAE) akan muncul. Klik Confirm untuk membuatnya.
Kotak dialog Welcome to Serverless App Engine (SAE) akan muncul setiap kali Anda login ke Konsol SAE hingga Anda mengonfirmasi pembuatan peran.
Menghapus peran terkait layanan
SAE mencegah Anda menghapus AliyunServiceRoleForSAE selama masih terdapat aplikasi dalam Akun Alibaba Cloud Anda. Perlindungan ini memastikan bahwa aplikasi aktif tidak kehilangan izin yang diperlukan untuk berjalan. Hapus semua aplikasi terlebih dahulu, lalu hapus perannya.
Setelah Anda menghapus peran terkait layanan, SAE tidak lagi berfungsi untuk akun Anda. Untuk menggunakan SAE kembali, login ke Konsol SAE guna membuat ulang peran tersebut, seperti dijelaskan dalam Membuat peran terkait layanan.
Langkah-langkah:
Hapus semua aplikasi SAE dalam akun Anda. Lihat Menghapus aplikasi.
Hapus peran RAM
AliyunServiceRoleForSAE. Lihat Menghapus peran RAM.