什麼是CPFS檔案系統服務關聯角色 - Cloud Parallel File Storage

CPFS 使用服務關聯角色訪問Virtual Private Cloud、Object Storage Service等阿里雲服務。本文介紹各角色的適用情境、許可權內容及刪除方法。

背景資訊

服務關聯角色是一種可信實體為阿里雲服務的RAM角色。Cloud Parallel File Storage使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。

執行相關操作時，系統通常會自動建立服務關聯角色。如果自動建立失敗，或Cloud Parallel File Storage不支援自動建立，需手動建立服務關聯角色。

RAM 為每個服務關聯角色提供一個系統權限原則，該策略不可修改。如需查看策略內容，可前往RAM控制台對應角色的詳情頁面。

說明

關於服務關聯角色的更多資訊，請參見服務關聯角色。

應用情境

CPFS 服務關聯角色的應用情境如下：

AliyunServiceRoleForNasCpfsNetwork

建立或刪除彈性網卡、安全性群組時，CPFS 通過該角色訪問Virtual Private Cloud和Elastic Compute Service。
AliyunServiceRoleForNasCpfsClient

建立或刪除ECS執行個體、雲助手、授權資訊及安全性群組時，CPFS 通過該角色訪問Virtual Private Cloud和Elastic Compute Service。
AliyunServiceRoleForNasOssDataFlow

使用資料流動功能時，CPFS 通過該角色查詢和讀寫Object Storage Service中指定 Bucket 的資料。
AliyunServiceRoleForNasEventNotification

使用資料流動功能時，CPFS 通過該角色建立和修改 EventBridge 相關參數。

更多服務關聯角色的資訊，請參見服務關聯角色。

許可權說明

各 CPFS 服務關聯角色的許可權內容如下：

AliyunServiceRoleForNasCpfsNetwork

該角色授予 CPFS 管理掛載點所需網路資源的許可權：

vpc：讀取VPC和交換器屬性，驗證網路設定。
ecs（不限資源）：建立安全性群組和彈性網卡，管理彈性網卡許可權。
ecs（僅標籤資源）：管理標籤為 nas:cpfs=true 的資源的安全性群組規則。

ram：刪除本服務關聯角色（範圍限定為 cpfs-network.nas.aliyuncs.com）。

{
    "Version": "1",
    "Statement": [{
            "Action": [
                "vpc:DescribeVSwitchAttributes",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:CreateSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "acs:ecs:*:*:*/*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "ecs:tag/nas:cpfs": "true"
                }
            }
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "cpfs-network.nas.aliyuncs.com"
                }
            }
        }
    ]
}

AliyunServiceRoleForNasCpfsClient

該角色授予 CPFS 管理掛載用戶端執行個體所需的許可權：

vpc：讀取VPC和交換器屬性。
ecs（不限資源）：建立和查詢執行個體、安全性群組，安裝雲助手。
ecs（僅標籤資源）：啟動和刪除執行個體，運行命令，管理標籤為 nas:cpfs=true 的資源的安全性群組規則。

ram：刪除本服務關聯角色（範圍限定為 cpfs-client.nas.aliyuncs.com）。

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:RunInstances",
 "ecs:CreateInstance",
 "ecs:DescribeInstances",
 "ecs:CreateSecurityGroup",
 "ecs:DescribeSecurityGroups",
 "ecs:InstallCloudAssistant",
 "ecs:DescribeInvocations"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:StartInstances",
 "ecs:DeleteInstances",
 "ecs:RunCommand",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup",
 "ecs:AuthorizeSecurityGroup",
 "ecs:AuthorizeSecurityGroupEgress",
 "ecs:RevokeSecurityGroup",
 "ecs:RevokeSecurityGroupEgress"
 ],
 "Resource": "acs:ecs:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "ecs:tag/nas:cpfs": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "cpfs-client.nas.aliyuncs.com"
 }
 }
 } 
 ]
 }

AliyunServiceRoleForNasOssDataFlow

該角色授予 CPFS 資料流動功能讀寫OSS資料所需的許可權：

oss（不限資源）：列舉所有 Bucket，讀取 Bucket 標籤，定位目標 Bucket。
oss（僅標籤 Bucket）：對標籤為 cpfs-dataflow=true 的 Bucket 及其對象進行完整讀寫操作，包括分區上傳。

ram：刪除本服務關聯角色（範圍限定為 oss-dataflow.nas.aliyuncs.com）。

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "oss:ListBuckets",
 "oss:GetBucketTagging"
 ],
 "Resource": [
 "acs:oss:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "oss:HeadBucket",
 "oss:GetBucketLocation",
 "oss:GetBucketInventory",
 "oss:GetBucketInfo",
 "oss:GetBucketVersion",
 "oss:GetBucketAcl",
 "oss:GetBucketStat",
 "oss:GetBucket",
 "oss:ListObjects",
 "oss:GetObject",
 "oss:PutObject",
 "oss:CopyObject",
 "oss:AppendObject",
 "oss:DeleteObject",
 "oss:GetObjectMeta",
 "oss:PutObjectACL",
 "oss:GetObjectACL",
 "oss:PutObjectTagging",
 "oss:GetObjectTagging",
 "oss:InitiateMultipartUpload",
 "oss:CompleteMultipartUpload",
 "oss:AbortMultipartUpload",
 "oss:ListMultipartUploads",
 "oss:UploadPart",
 "oss:UploadPartCopy",
 "oss:ListParts"
 ],
 "Resource": [
 "acs:oss:*:*:*",
 "acs:oss:*:*:*/*"
 ],
 "Condition": {
 "StringEqualsIgnoreCase": {
 "oss:tag/cpfs-dataflow": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "oss-dataflow.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasEventNotification

該角色授予 CPFS 管理資料流動事件通知所需的 EventBridge 許可權：

eventbridge（不限資源）：讀取事件匯流排詳情，建立規則。
eventbridge（所有資源）：查詢、列舉、更新、啟用、禁用、刪除規則，管理規則目標。

ram：刪除本服務關聯角色（範圍限定為 event-notification.nas.aliyuncs.com）。

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetEventBus",
 "eventbridge:CreateRule"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetRule",
 "eventbridge:ListRules",
 "eventbridge:UpdateRule",
 "eventbridge:EnableRule",
 "eventbridge:DisableRule",
 "eventbridge:DeleteRule",
 "eventbridge:CreateTargets",
 "eventbridge:UpdateTargets",
 "eventbridge:DeleteTargets"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "event-notification.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

RAM 使用者使用服務關聯角色需要的許可權

RAM 使用者建立或刪除服務關聯角色，需聯絡管理員授予 AliyunNASFullAccess 許可權，或在自訂權限原則的Action語句中添加以下許可權：

建立服務關聯角色：ram:CreateServiceLinkedRole
刪除服務關聯角色：ram:DeleteServiceLinkedRole

關於授權的詳細操作，請參見管理服務關聯角色所需的許可權。

查看服務關聯角色

服務關聯角色建立成功後，可在RAM 控制台角色頁面搜尋角色名稱（例如 AliyunServiceRoleForNasStandard），進入詳情頁查看以下資訊：

基本資料

在 AliyunServiceRoleForNasStandard 角色詳情頁的基本信息地區，查看角色名稱、建立時間、角色 ARN 和備忘等基本資料。
權限原則

在 AliyunServiceRoleForNasStandard 角色詳情頁的權限管理頁簽，單擊權限原則名稱，查看策略內容及該角色可訪問的雲資源。
信任策略

在 AliyunServiceRoleForNasStandard 角色詳情頁的信任策略頁簽，查看信任策略內容。信任策略描述可扮演該RAM角色的可信實體。服務關聯角色的可信實體為雲端服務，可通過信任策略中的Service欄位查看。

關於如何查看服務關聯角色的詳細操作，請參見查看RAM角色。

刪除CPFS服務關聯角色

不再使用 CPFS 資料流動等功能時，可刪除對應的服務關聯角色。刪除前，需先刪除該角色關聯的 CPFS 檔案系統執行個體。具體操作，請參見刪除檔案系統和刪除服務關聯角色。

如果刪除時服務正在使用該角色，刪除操作可能失敗。等待幾分鐘後重試即可。

重要

刪除服務關聯角色後，依賴該角色的功能將無法正常使用，請謹慎操作。

常見問題

為什麼RAM使用者無法自動建立CPFS服務關聯角色？

RAM 使用者自動建立服務關聯角色需要具備指定許可權。為該RAM使用者添加以下系統策略和自訂策略後即可解決。具體操作，請參見建立自訂權限原則。

系統策略
- AliyunVPCFullAccess：管理Virtual Private Cloud的許可權。
- AliyunBSSFullAccess：管理費用中心 BSS 的許可權。
- AliyunNASFullAccess：管理Apsara File Storage NAS 的許可權。
- AliyunECSNetworkInterfaceManagementAccess：管理ECS彈性網卡的許可權。

自訂策略

管理掛載點，需要cpfs-network.nas.aliyuncs.com和cpfs-client.nas.aliyuncs.com許可權。
管理資料流動，需要oss-dataflow.nas.aliyuncs.com和event-notification.nas.aliyuncs.com許可權。

樣本如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": { 
         "ram:ServiceName": [
            "cpfs-network.nas.aliyuncs.com",
            "cpfs-client.nas.aliyuncs.com",
            "oss-dataflow.nas.aliyuncs.com",
            "event-notification.nas.aliyuncs.com" 
         ]
        }
      }
    }
  ]
}