什麼是CPFS檔案系統服務關聯角色 - Cloud Parallel File Storage

CPFS 檔案系統在執行掛載點管理、資料流動等操作時，需要訪問Virtual Private Cloud、Elastic Compute Service、Object Storage Service等雲端服務。檔案儲存體 CPFS 會自動建立服務關聯角色，以最小許可權完成跨服務訪問，無需手動設定許可權。

服務關聯角色的工作原理

服務關聯角色是一種可信實體為阿里雲服務的RAM角色。檔案儲存體 CPFS 使用服務關聯角色訪問其他阿里雲服務和雲資源，無需手動設定跨服務許可權。

執行特定操作時，系統會自動建立服務關聯角色。如果自動建立失敗，或 CPFS 不支援自動建立，則需要手動建立。

RAM 為每個服務關聯角色附加了一個系統策略，該策略不可修改。如需查看策略詳情，可前往對應角色的詳情頁面。

說明

關於服務關聯角色的更多資訊，請參見服務關聯角色。

CPFS 服務關聯角色

CPFS 使用以下 4 個服務關聯角色，每個角色的許可權範圍與其負責的操作對應：

AliyunServiceRoleForNasCpfsNetwork

建立或刪除彈性網卡（ENI）、安全性群組時使用。CPFS 通過此角色訪問Virtual Private Cloud和Elastic Compute Service。
AliyunServiceRoleForNasCpfsClient

建立或刪除ECS執行個體、雲助手執行個體、授權資訊及安全性群組時使用。CPFS 通過此角色訪問Virtual Private Cloud和Elastic Compute Service。
AliyunServiceRoleForNasOssDataFlow

使用資料流動功能時使用。CPFS 通過此角色查詢、讀寫Object Storage Service中指定儲存空間（Bucket）的資料。
AliyunServiceRoleForNasEventNotification

使用資料流動功能時使用。CPFS 通過此角色建立和修改 EventBridge 事件通知相關參數。

更多服務關聯角色的資訊，請參見服務關聯角色。

許可權說明

以下是各 CPFS 服務關聯角色的權限原則。每個角色的許可權僅限於其功能所需的最小存取範圍。

AliyunServiceRoleForNasCpfsNetwork

此角色允許 CPFS 執行以下操作：

VPC：查詢 VPC、交換器及其屬性
ECS：建立、查詢、刪除安全性群組和彈性網卡；管理彈性網卡許可權

安全性群組和彈性網卡操作僅限於標籤為 nas:cpfs=true 的資源。

{
    "Version": "1",
    "Statement": [{
            "Action": [
                "vpc:DescribeVSwitchAttributes",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:CreateSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "acs:ecs:*:*:*/*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "ecs:tag/nas:cpfs": "true"
                }
            }
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "cpfs-network.nas.aliyuncs.com"
                }
            }
        }
    ]
}

AliyunServiceRoleForNasCpfsClient

此角色允許 CPFS 執行以下操作：

VPC：查詢 VPC、交換器及其屬性
ECS：運行、建立、啟動、刪除執行個體；安裝和調用雲助手；管理安全性群組

安全性群組和執行個體操作僅限於標籤為 nas:cpfs=true 的資源。

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:RunInstances",
 "ecs:CreateInstance",
 "ecs:DescribeInstances",
 "ecs:CreateSecurityGroup",
 "ecs:DescribeSecurityGroups",
 "ecs:InstallCloudAssistant",
 "ecs:DescribeInvocations"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:StartInstances",
 "ecs:DeleteInstances",
 "ecs:RunCommand",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup",
 "ecs:AuthorizeSecurityGroup",
 "ecs:AuthorizeSecurityGroupEgress",
 "ecs:RevokeSecurityGroup",
 "ecs:RevokeSecurityGroupEgress"
 ],
 "Resource": "acs:ecs:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "ecs:tag/nas:cpfs": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "cpfs-client.nas.aliyuncs.com"
 }
 }
 } 
 ]
 }

AliyunServiceRoleForNasOssDataFlow

此角色允許 CPFS 執行以下操作：

OSS（無限制）：列舉儲存空間、擷取儲存空間標籤

OSS（僅限標籤儲存空間）：對標籤為 cpfs-dataflow=true 的儲存空間執行全部讀寫和分區上傳操作

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "oss:ListBuckets",
 "oss:GetBucketTagging"
 ],
 "Resource": [
 "acs:oss:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "oss:HeadBucket",
 "oss:GetBucketLocation",
 "oss:GetBucketInventory",
 "oss:GetBucketInfo",
 "oss:GetBucketVersion",
 "oss:GetBucketAcl",
 "oss:GetBucketStat",
 "oss:GetBucket",
 "oss:ListObjects",
 "oss:GetObject",
 "oss:PutObject",
 "oss:CopyObject",
 "oss:AppendObject",
 "oss:DeleteObject",
 "oss:GetObjectMeta",
 "oss:PutObjectACL",
 "oss:GetObjectACL",
 "oss:PutObjectTagging",
 "oss:GetObjectTagging",
 "oss:InitiateMultipartUpload",
 "oss:CompleteMultipartUpload",
 "oss:AbortMultipartUpload",
 "oss:ListMultipartUploads",
 "oss:UploadPart",
 "oss:UploadPartCopy",
 "oss:ListParts"
 ],
 "Resource": [
 "acs:oss:*:*:*",
 "acs:oss:*:*:*/*"
 ],
 "Condition": {
 "StringEqualsIgnoreCase": {
 "oss:tag/cpfs-dataflow": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "oss-dataflow.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasEventNotification

此角色允許 CPFS 執行以下操作：

EventBridge：擷取事件匯流排、建立規則

EventBridge：列舉、更新、啟用、禁用、刪除規則；建立、更新、刪除目標

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetEventBus",
 "eventbridge:CreateRule"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetRule",
 "eventbridge:ListRules",
 "eventbridge:UpdateRule",
 "eventbridge:EnableRule",
 "eventbridge:DisableRule",
 "eventbridge:DeleteRule",
 "eventbridge:CreateTargets",
 "eventbridge:UpdateTargets",
 "eventbridge:DeleteTargets"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "event-notification.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

RAM 使用者使用服務關聯角色需要的許可權

RAM 使用者建立或刪除 CPFS 服務關聯角色，需聯絡管理員授予 AliyunNASFullAccess 系統策略，或在自訂策略的Action語句中添加以下許可權：

建立服務關聯角色：ram:CreateServiceLinkedRole
刪除服務關聯角色：ram:DeleteServiceLinkedRole

關於授權的詳細操作，請參見管理服務關聯角色所需的許可權。

查看服務關聯角色

服務關聯角色建立成功後，可在RAM 控制台的角色頁面通過角色名稱搜尋（例如，AliyunServiceRoleForNasStandard），查看以下資訊：

基本資料

在 AliyunServiceRoleForNasStandard 角色詳情頁的基本信息地區，查看角色名稱、建立時間、角色 ARN 和備忘等基本資料。
權限原則

在 AliyunServiceRoleForNasStandard 角色詳情頁的權限管理頁簽，單擊權限原則名稱，查看權限原則內容及該角色可訪問的雲資源。
信任策略

在 AliyunServiceRoleForNasStandard 角色詳情頁的信任策略頁簽，查看信任策略內容。信任策略描述了可以扮演該RAM角色的可信實體。服務關聯角色的可信實體為阿里雲服務，可通過信任策略中的Service欄位查看。

關於如何查看服務關聯角色的詳細操作，請參見查看RAM角色。

刪除CPFS服務關聯角色

不再需要 CPFS 服務關聯角色時（例如停止使用資料流動功能後），可以刪除對應角色。刪除前，需先刪除該角色關聯的 CPFS 檔案系統執行個體。具體操作，請參見刪除檔案系統和刪除服務關聯角色。

常見問題

為什麼RAM使用者無法自動建立CPFS服務關聯角色？

RAM 使用者需要具備特定許可權才能觸發服務關聯角色的自動建立。為RAM使用者添加以下系統策略和自訂策略。具體操作，請參見建立自訂權限原則。

系統策略
- AliyunVPCFullAccess：管理Virtual Private Cloud的許可權。
- AliyunBSSFullAccess：管理費用中心BSS的許可權。
- AliyunNASFullAccess：管理Apsara File Storage NAS的許可權。
- AliyunECSNetworkInterfaceManagementAccess：管理ECS彈性網卡的許可權。

自訂策略

管理掛載點，需要cpfs-network.nas.aliyuncs.com和cpfs-client.nas.aliyuncs.com許可權。
管理資料流動，需要oss-dataflow.nas.aliyuncs.com和event-notification.nas.aliyuncs.com許可權。

樣本如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": { 
         "ram:ServiceName": [
            "cpfs-network.nas.aliyuncs.com",
            "cpfs-client.nas.aliyuncs.com",
            "oss-dataflow.nas.aliyuncs.com",
            "event-notification.nas.aliyuncs.com" 
         ]
        }
      }
    }
  ]
}