E-HPC存取控制的普通服務角色-彈性高效能運算-阿里雲

使用E-HPC時，必須建立普通服務角色AliyunECSInstanceForEHPCRole並授權AliyunECSInstanceForEHPCRolePolicy，本文介紹如何建立、查看和刪除AliyunECSInstanceForEHPCRole。

功能概述

普通服務角色（Service Role）是一種可信實體為阿里雲服務的RAM角色，旨在解決跨雲端服務的授權訪問問題。更多資訊，請參見RAM角色概覽。

使用E-HPC時，系統提供的普通服務角色及其包含的系統權限原則如下：

普通服務角色：AliyunECSInstanceForEHPCRole
系統權限原則：AliyunECSInstanceForEHPCRolePolicy

應用情境

AliyunECSInstanceForEHPCRole用於授權E-HPC叢集中的節點（即ECS執行個體）訪問其他雲資源。通過AliyunECSInstanceForEHPCRole，ECS執行個體可以獲得Elastic Compute Service、彈性高效能運算E-HPC的存取權限。

RAM使用者使用普通服務角色需要的許可權

如果使用RAM使用者建立或刪除普通服務角色，必須使用阿里雲帳號為該RAM使用者授權。

方式一：授予AliyunEHPCFullAccess權限原則，該權限原則包含了建立和刪除AliyunECSInstanceForEHPCRole的許可權。
方式二：在自訂權限原則的Action語句中為RAM使用者添加以下許可權：
- 建立普通服務角色：ram:CreateRole
- 刪除普通服務角色：ram:DeleteRole

建立普通服務角色

在您使用E-HPC時，系統會檢查當前帳號是否已有AliyunECSInstanceForEHPCRole，如果不存在則會彈出提示，在您確認提示資訊後系統會自動建立AliyunECSInstanceForEHPCRole，同時為其建立和授權AliyunECSInstanceForEHPCRolePolicy。

AliyunECSInstanceForEHPCRole包含系統權限原則AliyunECSInstanceForEHPCRolePolicy，您無法修改系統權限原則的內容，但可以為其新增其他權限原則。

展開查看AliyunECSInstanceForEHPCRolePolicy許可權內容

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:StartInstances",
                "ecs:StopInstances",
                "ecs:DeleteInstances",
                "ecs:DescribeInstances",
                "cms:QueryMetricLast",
                "cms:QueryMetricList",
                "ess:DescribeScalingConfigurations",
                "ess:ModifyScalingConfiguration",
                "ess:ModifyScalingRule",
                "ess:ExecuteScalingRule",
                "ess:RemoveInstances",
                "oss:PutObject",
                "oss:GetObject",
                "oss:ListObjects",
                "oss:ListBuckets",
                "ehpc:*",
                "ecs:CreateCommand",
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:DescribeCommands",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:ListSecurityGroups",
                "ecs:AuthorizeSecurityGroup"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

查看普通服務角色

當普通服務角色建立成功後，您可以在RAM控制台的角色頁面，通過搜尋AliyunECSInstanceForEHPCRole查看角色詳情。

基本資料
在角色詳情頁面的基本資料地區，查看角色基本資料，包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁面的許可權管理頁簽，單擊權限原則名稱，查看權限原則內容以及該角色可授權訪問哪些雲資源。
信任策略
在角色詳情頁的信任策略頁簽，查看信任策略內容。信任策略是描述RAM角色可信實體的策略，可信實體是指可以扮演RAM角色的實體使用者身份。普通服務角色的可信實體為雲端服務，您可以通過信任策略中的Service欄位查看。

關於如何查看普通服務角色的詳細操作，請參見查看RAM角色。

使用限制與許可權擴充

重要

AliyunECSInstanceForEHPCRole是管理節點和登入節點的必要綁定角色，請勿在ECS控制台解除綁定或替換該角色：解除綁定管理節點的該角色將導致叢集自動擴縮容失效，解除綁定登入節點的該角色將導致Web Portal功能異常。

為普通服務角色添加自訂策略

如需為節點增加更多介面調用許可權，正確的方式是在AliyunECSInstanceForEHPCRole角色上追加自訂權限原則，而非解除綁定或替換該角色。具體操作步驟如下：

登入RAM控制台。
在左側導覽列，選擇身份管理 > 角色。
在角色列表中搜尋並單擊AliyunECSInstanceForEHPCRole。
在許可權管理頁簽中，單擊新增授權，選擇或建立所需的自訂權限原則。
單擊確定完成授權。

更多關於自訂權限原則的資訊，請參見權限原則基本元素。

刪除普通服務角色

重要

刪除普通服務角色後，依賴該角色的對應功能將無法正常使用，請謹慎刪除。

當您長時間不使用E-HPC時，您可以在RAM控制台手動刪除普通服務角色。具體操作，請參見刪除RAM角色。

刪除AliyunECSInstanceForEHPCRoleC前，您需要滿足以下條件：

確定不再需要使用該普通服務角色，例如不需要建立叢集、管理叢集節點等。
已刪除依賴該普通服務角色的E-HPC叢集。具體操作，請參見釋放叢集。