本文介紹Data Encryption Service服務關聯角色AliyunServiceRoleForHSMLogDelivery的應用情境、許可權以及如何刪除該角色。
AliyunServiceRoleForHSMLogDelivery應用情境
Data Encryption Service提供的安全審計服務需要擷取Object Storage Service(Object Storage Service)雲端服務資源的存取權限,因此Data Encryption Service設定了服務關聯角色AliyunServiceRoleForHSMLogDelivery。關於服務關聯角色的更多資訊,請參見服務關聯角色。
AliyunServiceRoleForHSMLogDelivery許可權說明
AliyunServiceRoleForHSMLogDelivery的許可權包括:擷取OSS Bucket列表及指定路徑的讀寫權限。
關於AliyunServiceRoleForHSMLogDeliver的許可權的詳細資料,請參考如下內容:
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "logdelivery.hsm.aliyuncs.com"
}
}
},
{
"Action": [
"oss:GetObject",
"oss:PutObject"
],
"Effect": "Allow",
"Resource": [
"acs:oss:*:*:*/aliyun-hsm-audit-log",
"acs:oss:*:*:*/aliyun-hsm-audit-log/*"
]
},
{
"Action": [
"oss:ListBuckets"
],
"Effect": "Allow",
"Resource": [
"acs:oss:*:*:*"
]
}刪除服務關聯角色
如果您不再使用Data Encryption Service中的安全審計服務,您可以刪除AliyunServiceRoleForHSMLogDelivery。在刪除該角色前,需要先確保當前阿里雲帳號下沒有正在使用的密碼機執行個體,並關閉該帳號下的安全審計服務,然後在RAM控制台刪除該服務關聯角色。如果當前阿里雲帳號的密碼機執行個體已投入使用,則您不能刪除AliyunServiceRoleForHSMLogDelivery。