全部產品
Search

搜尋本產品

    Elastic Compute Service:管理雲助手服務關聯角色

    文件中心

    Elastic Compute Service:管理雲助手服務關聯角色

    更新時間:Feb 28, 2024

    本文介紹如何通過雲助手服務關聯角色(AliyunServiceRoleForECSArchiving)授予雲助手訪問關聯雲資源的許可權。

    背景資訊

    雲助手服務關聯角色(AliyunServiceRoleForECSArchiving)是存取控制提供的一種服務關聯角色,用於授權雲助手訪問關聯雲資源。通過AliyunServiceRoleForECSArchiving,雲助手可以將營運任務執行記錄或會話操作記錄投遞到您指定的Object Storage Service或Log ServiceSLS中,進行持久化儲存。更多關於服務關聯角色的資訊,請參見服務關聯角色

    AliyunServiceRoleForECSArchiving的權限原則

    角色名稱:AliyunServiceRoleForECSArchiving

    角色權限原則:AliyunServiceRolePolicyForECSArchiving

    策略內容如下所示:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "oss:PutObject",
        "oss:GetBucketInfo",
        "log:GetProject",
        "log:GetLogStore",
        "log:CreateLogStore",
        "log:PostLogStoreLogs",
        "log:GetIndex",
        "log:CreateIndex",
        "oss:GetObject"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "archiving.ecs.aliyuncs.com"
        }
      }
    }
  ]
}

    建立AliyunServiceRoleForECSArchiving

    在您使用營運任務執行記錄或會話操作記錄投遞功能時,系統會檢查當前帳號是否存在AliyunServiceRoleForECSArchiving,如果不存在則自動建立。

    AliyunServiceRoleForECSArchiving包含權限原則AliyunServiceRolePolicyForECSArchiving。服務關聯角色包含的權限原則由對應的雲端服務定義和使用,您不能為服務關聯角色添加、修改或刪除許可權。

    刪除AliyunServiceRoleForECSArchiving

    如果您不再需要使用AliyunServiceRoleForECSArchiving,例如不需要長期儲存營運任務執行記錄或會話操作記錄,可以手動刪除AliyunServiceRoleForECSArchiving。具體操作,請參見刪除RAM角色

    為避免誤刪AliyunServiceRoleForECSArchiving導致無法正常使用營運任務執行記錄或會話操作記錄投遞功能,如果已經在任一地區下開啟營運任務執行記錄或會話操作記錄投遞功能,會刪除失敗並報錯。您可以在報錯資訊中查看已經開啟營運任務執行記錄或會話操作記錄投遞功能的地區,再關閉該功能後再嘗試刪除。

    • 關閉營運任務執行記錄投遞功能

      ECS雲助手頁面的右上方,單擊操作內容與結果投遞,在操作內容與結果投遞對話方塊中,取消選中投遞到Log ServiceSLS投遞到Object Storage Service,單擊確定,即可關閉營運任務執行記錄投遞功能。

    • 關閉會話操作記錄投遞功能

      在ECS執行個體的遠端連線頁面,單擊,在對話方塊中,取消選中投遞到Log ServiceSLS投遞到Object Storage Service,單擊確定,即可關閉會話操作記錄投遞功能。

    常見問題

    為什麼RAM使用者無法自動建立AliyunServiceRoleForECSArchiving?

    如果您需要使用RAM使用者登入操作,必須先使用阿里雲帳號為RAM使用者授予指定的許可權,然後才能自動建立AliyunServiceRoleForECSArchiving。具體操作,請參見為RAM使用者授權。權限原則內容如下:

    說明

    請將<account ID>替換為您阿里雲帳號的UID。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:<account ID>:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "archiving.ecs.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}