當您使用KMS的動態ECS憑據功能時,需要通過服務關聯角色授予憑據管家訪問ECS、雲助手等相關資源的許可權。本文為您介紹動態ECS憑據服務關聯角色(AliyunServiceRoleForKMSSecretsManagerForECS)的權限原則、建立及刪除操作。
許可權說明
角色名稱:AliyunServiceRoleForKMSSecretsManagerForECS
權限原則:AliyunServiceRolePolicyForKMSSecretsManagerForECS
許可權說明:憑據管家使用該角色為您管理動態ECS憑據,完成ECS口令、公私密金鑰的輪轉任務。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:InvokeCommand",
"ecs:DescribeInvocationResults"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/cmd-ACS-KMS-RotateECSSecret*"
]
},
{
"Action": [
"kms:ListSecretVersionIds",
"kms:GetSecretValue",
"kms:DescribeSecret",
"kms:PutSecretValue",
"kms:UpdateSecretVersionStage"
],
"Resource": "acs:kms:*:*:secret/acs/ecs/*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "secretsmanager-ecs.kms.aliyuncs.com"
}
}
}
]
}建立服務關聯角色
在建立動態ECS憑據的過程中,如果之前沒有建立過服務關聯角色,會自動進行建立。
刪除服務關聯角色
刪除服務關聯角色前,您需要先刪除當前阿里雲帳號下的動態ECS憑據,然後在RAM控制台刪除服務關聯角色。具體操作,請參見刪除RAM角色。