本文介紹雲Message QueueTT 版服務關聯角色的背景資訊,權限原則、注意事項和常見問題。
背景資訊
服務關聯角色是某個雲端服務在某些情況下,為了完成自身的某個功能,需要擷取其他雲端服務的存取權限而提供的RAM角色。您在該雲端服務的控制台首次使用該功能時,系統會提示您完成服務關聯角色的自動建立。更多服務關聯角色相關資訊,請參見服務關聯角色。
雲Message QueueTT 版提供以下服務關聯角色:
服務關聯角色 | 角色權限原則 | 說明 |
AliyunServiceRoleForMqttCoreRuleEngine | AliyunServiceRolePolicyForMqttCoreRuleEngine | 雲Message QueueTT 版規則引擎通過扮演該RAM角色,擷取Elastic Compute Service、私網串連(PrivateLink)、Virtual Private Cloud和雲訊息佇列 Kafka 版的許可權,實現將雲Message QueueTT 版訊息流程轉到雲訊息佇列 Kafka 版的功能。 重要 為避免服務異常,在刪除服務關聯角色前,需要先手動刪除當前阿里雲帳號下的所有規則引擎,請謹慎操作。 |
AliyunServiceRoleForMqttTunnel | AliyunServiceRolePolicyForMqttTunnel | 雲Message QueueTT 版規則引擎通過扮演該RAM角色,擷取Elastic Compute Service、私網串連(PrivateLink)、Virtual Private Cloud的許可權,實現雲Message QueueTT 版HTTP認證的功能。 |
權限原則
AliyunServiceRolePolicyForMqttCoreRuleEngine
服務關聯角色AliyunServiceRolePolicyForMqttCoreRuleEngine被授與權限策略AliyunServiceRolePolicyForMqttCoreRuleEngine的策略內容如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"alikafka:ListInstance",
"alikafka:ListTopic"
],
"Resource": "acs:alikafka:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"privatelink:UpdateVpcEndpointAttribute",
"privatelink:DeleteVpcEndpoint",
"privatelink:CreateVpcEndpoint",
"privatelink:ListVpcEndpoints",
"privatelink:GetVpcEndpointAttribute",
"privatelink:ListVpcEndpointServicesByEndUser",
"privatelink:ListVpcEndpointZones",
"privatelink:ListVpcEndpointSecurityGroups",
"privatelink:AddZoneToVpcEndpoint",
"privatelink:RemoveZoneFromVpcEndpoint"
],
"Resource": "acs:privatelink:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"privatelink:CreateVpcEndpoint",
"vpc:DescribeVSwitches",
"ecs:CreateSecurityGroup"
],
"Resource": "acs:vpc:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"privatelink:CreateVpcEndpoint",
"ecs:DescribeSecurityGroupAttribute",
"ecs:DescribeSecurityGroups",
"ecs:CreateSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:RevokeSecurityGroup"
],
"Resource": "acs:ecs:*:*:*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "core-rule-engine.mqtt.aliyuncs.com"
}
}
}
]
}AliyunServiceRolePolicyForMqttTunnel
服務關聯角色AliyunServiceRoleForMqttTunnel被授與權限策略AliyunServiceRolePolicyForMqttTunnel的策略內容如下:
{
"Version":"1",
"Statement":[
{
"Action":[
"privatelink:UpdateVpcEndpointAttribute",
"privatelink:DeleteVpcEndpoint",
"privatelink:CreateVpcEndpoint",
"privatelink:ListVpcEndpoints",
"privatelink:GetVpcEndpointAttribute",
"privatelink:ListVpcEndpointServicesByEndUser",
"privatelink:ListVpcEndpointZones",
"privatelink:ListVpcEndpointSecurityGroups",
"privatelink:AddZoneToVpcEndpoint",
"privatelink:RemoveZoneFromVpcEndpoint"
],
"Resource":"acs:privatelink:*:*:*",
"Effect":"Allow"
},
{
"Action":[
"privatelink:CreateVpcEndpoint",
"vpc:DescribeVSwitches",
"ecs:CreateSecurityGroup"
],
"Resource":"acs:vpc:*:*:*",
"Effect":"Allow"
},
{
"Action":[
"privatelink:CreateVpcEndpoint",
"ecs:DescribeSecurityGroupAttribute",
"ecs:DescribeSecurityGroups",
"ecs:CreateSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:RevokeSecurityGroup"
],
"Resource":"acs:ecs:*:*:*",
"Effect":"Allow"
},
{
"Action":"ram:DeleteServiceLinkedRole",
"Resource":"*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"ram:ServiceName":"ep-tunnel.mqtt.aliyuncs.com"
}
}
}
]
}查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面查看該服務關聯角色的以下資訊:
基本資料
在角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容。
說明您只能通過服務關聯角色,查看其關聯的權限原則內容,不能在RAM控制台的權限原則頁面直接查看該權限原則。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
關於如何查看服務關聯角色,請參見查看RAM角色。
刪除服務關聯角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用Security Center或者需要登出阿里雲帳號前,您可能需要在存取控制管理主控台手動刪除服務關聯角色。具體操作,請參見刪除RAM角色。