網路連通性診斷服務關聯角色 - Elastic Compute Service

本文介紹如何通過網路連通性診斷服務關聯角色AliyunServiceRoleForECSNetworkInsights授予Elastic Compute Service許可權。

背景資訊

服務關聯角色是與某個雲端服務關聯的角色，擁有完成對應操作所必須的許可權，例如網路連通性診斷服務關聯角色AliyunServiceRoleForECSNetworkInsights擁有完成建立診斷線路、發起診斷任務操作所需的訪問VPC資源的許可權。更多服務關聯角色的資訊，請參見服務關聯角色。

AliyunServiceRoleForECSNetworkInsights權限原則

角色名稱：AliyunServiceRoleForECSNetworkInsights

角色權限原則：AliyunServiceRolePolicyForECSNetworkInsights

策略內容如下所示：

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "vpc:DescribeNetworkAcls",
                "vpc:DescribeNetworkAclAttributes",
                "vpc:DescribeNatGateways",
                "vpc:DescribeRouteEntryList",
                "vpc:DescribeRouteTableList",
                "vpc:DescribeRouteTables",
                "vpc:DescribeRouterInterfaceAttribute",
                "vpc:DescribeRouterInterfaces",
                "vpc:DescribeVRouters",
                "antiddos-public:DescribeInstance"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "nis:IsOpenService",
                "nis:CreateNetworkPath",
                "nis:CreateNetworkReachableAnalysis",
                "nis:GetNetworkReachableAnalysis",
                "nis:DeleteNetworkPath",
                "nis:DeleteNetworkReachableAnalysis"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "BssOpenApi:CreateInstance"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "bss:ModifyInstance"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "network-insights.ecs.aliyuncs.com"
                }
            }
        }
    ]
}

建立AliyunServiceRoleForECSNetworkInsights

在您建立診斷線路和發起診斷任務時，系統會檢查當前帳號是否存在AliyunServiceRoleForECSNetworkInsights，如果不存在則自動建立。

AliyunServiceRoleForECSNetworkInsights包含權限原則AliyunServiceRolePolicyForECSNetworkInsights，服務關聯角色包含的權限原則由對應的雲端服務定義和使用，您不能為服務關聯角色添加、修改或刪除許可權。

刪除AliyunServiceRoleForECSNetworkInsights

如果您不再需要使用AliyunServiceRoleForECSNetworkInsights時，可以手動刪除。具體操作，請參見刪除RAM角色。

常見問題

為什麼我的RAM使用者無法自動建立網路連通性診斷服務關聯角色（AliyunServiceRoleForECSNetworkInsights）？

您需要擁有指定的許可權，才能自動建立或刪除網路連通性診斷服務關聯角色（AliyunServiceRoleForECSNetworkInsights）。因此，在RAM使用者無法自動建立網路連通性診斷服務關聯角色（AliyunServiceRoleForECSNetworkInsights）時，您需為其添加以下權限原則。

{
  "Statement": [
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "network-insights.ecs.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}