全部产品
Search

搜索本产品

    VPN Gateway:AliyunServiceRoleForVpn

    文档中心

    VPN Gateway:AliyunServiceRoleForVpn

    更新时间:Jul 02, 2025

    Topik ini menjelaskan peran terkait layanan AliyunServiceRoleForVpn dari VPN Gateway. Saat Anda membuat gateway VPN atau koneksi IPsec-VPN yang terkait dengan router transit untuk pertama kalinya, sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Peran ini memungkinkan gateway VPN mengakses sumber daya cloud lainnya seperti elastic network interfaces (ENIs) dan grup keamanan, membantu Anda membuat gateway VPN atau koneksi IPsec-VPN.

    Informasi latar belakang

    Layanan Alibaba Cloud mungkin perlu mengakses layanan lain untuk mengimplementasikan fitur tertentu. Dalam hal ini, layanan tersebut harus diberi otorisasi untuk mengakses layanan lain. Sebagai contoh, untuk mengambil daftar sumber daya dan data log dari Elastic Compute Service (ECS) dan ApsaraDB RDS, Cloud Config memerlukan izin akses pada ECS dan ApsaraDB RDS. Alibaba Cloud menyediakan peran terkait layanan untuk menyederhanakan proses pemberian otorisasi layanan dalam mengakses layanan lain.

    Peran terkait layanan adalah Peran RAM dengan entitas tepercaya berupa layanan Alibaba Cloud. Peran ini digunakan untuk memberikan otorisasi akses lintas layanan Alibaba Cloud. Peran ini hanya dapat diasumsikan oleh layanan terkait. Dalam kebanyakan kasus, layanan secara otomatis membuat atau menghapus peran terkait layanan jika diperlukan. Hal ini menyederhanakan proses pemberian otorisasi dan mengurangi risiko kesalahan operasi.

    Kebijakan yang dilampirkan pada peran terkait layanan telah ditentukan sebelumnya oleh layanan terkait. Anda tidak dapat memodifikasi, menghapus, melampirkan, atau melepas kebijakan tersebut dari peran terkait layanan.

    Untuk informasi lebih lanjut, lihat Peran Terkait Layanan.

    Buat peran terkait layanan AliyunServiceRoleForVpn

    Saat Anda membuat gateway VPN atau koneksi IPsec-VPN yang terkait dengan router transit untuk pertama kalinya, sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Peran ini membantu Anda membuat gateway VPN atau koneksi IPsec-VPN. Jika peran terkait layanan AliyunServiceRoleForVpn sudah ada, sistem tidak akan membuatnya lagi.

    Kebijakan bernama AliyunServiceRolePolicyForVpn dilampirkan pada peran terkait layanan AliyunServiceRoleForVpn. Kebijakan ini memungkinkan gateway VPN melakukan serangkaian operasi. Berikut adalah izin yang termasuk dalam kebijakan ini:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVSwitchAttributes",
        "vpc:TagResources",
        "vpc:DescribeRouteTableList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:JoinSecurityGroup",
        "ecs:LeaveSecurityGroup",
        "ecs:DescribeSecurityGroups",
        "ecs:AttachNetworkInterface",
        "ecs:DetachNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateSecurityGroupPermission",
        "ecs:AuthorizeSecurityGroupPermission",
        "ecs:RevokeSecurityGroupPermission",
        "ecs:JoinSecurityGroupPermission",
        "ecs:DeleteSecurityGroupPermission",
        "ecs:LeaveSecurityGroupPermission",
        "ecs:DescribeSecurityGroupPermissions",
        "ecs:AttachNetworkInterfacePermissions",
        "ecs:DetachNetworkInterfacePermissions",
        "ecs:AssignPrivateIpAddresses",
        "ecs:UnassignPrivateIpAddresses",
        "ecs:DescribeNetworkInterfaceAttribute"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpn.aliyuncs.com"
        }
      }
    }
  ]
}

    Hapus peran terkait layanan AliyunServiceRoleForVpn

    Anda dapat menghapus peran terkait layanan AliyunServiceRoleForVpn hanya jika tidak ada gateway VPN atau koneksi IPsec-VPN yang tersisa di akun Alibaba Cloud Anda. Untuk informasi lebih lanjut, lihat bagian-bagian berikut dari topik terkait:

    1. Hapus Gateway VPN bagian dari topik "Buat dan Kelola Gateway VPN"

    2. Hapus Koneksi IPsec-VPN bagian dari topik "Buat dan Kelola Koneksi IPsec-VPN dalam Mode Single-Tunnel"

    3. Hapus Peran Terkait Layanan bagian dari topik "Peran Terkait Layanan"

    FAQ

    Mengapa saya tidak dapat membuat peran terkait layanan AliyunServiceRoleForVpn menggunakan Pengguna Resource Access Management (RAM)?

    Secara default, akun Alibaba Cloud memiliki otorisasi untuk membuat peran terkait layanan AliyunServiceRoleForVpn. Jika pengguna RAM ingin membuat peran terkait layanan, Anda harus terlebih dahulu menggunakan akun Alibaba Cloud untuk memberikan izin yang diperlukan kepada pengguna RAM.

    Anda harus membuat kebijakan kustom dan melampirkannya ke pengguna RAM. Setelah itu, pengguna RAM dapat membuat peran terkait layanan AliyunServiceRoleForVpn. Contoh kode berikut memberikan ilustrasi. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom dan Berikan Izin ke Peran RAM.

    {
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "vpn.aliyuncs.com"
                }
            }
        }
    ],
    "Version": "1"
}