服務關聯角色(ServiceLinkedRole,簡稱SLR)是一種可信實體為阿里雲服務的RAM角色,可解決跨雲端服務的授權訪問問題。如MaxCompute訪問巨量資料計算平台其他雲產品(如Hologres),則需要建立服務關聯角色AliyunServiceRoleForMaxComputeIdentityMgmt。
RAM使用者使用服務關聯角色需要的許可權
如果使用RAM使用者建立或刪除服務關聯角色,必須為該RAM使用者授AliyunMaxComputeFullAccess或在自訂權限原則的Action語句中為RAM使用者添加以下許可權:
建立服務關聯角色:
ram:CreateServiceLinkedRole刪除服務關聯角色:
ram:DeleteServiceLinkedRole
關於授權的詳細操作,請參見建立和刪除服務關聯角色所需的許可權。
建立服務關聯角色
MaxCompute服務關聯角色SLR的詳細資料如下:
角色名稱:AliyunServiceRoleForMaxComputeIdentityMgmt
角色用途:用於授權MaxCompute訪問巨量資料計算平台其他雲產品,如Hologres等。
綁定的角色策略:AliyunServiceRolePolicyForMaxComputeIdentityMgmt
權限原則詳情:
{ "Statement": [ { "Effect": "Allow", "Action": "odps:ActOnBehalfOfAUser", "Resource": "acs:odps:*:*:users/*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "identity.odps.aliyuncs.com" } } } ], "Version": "1" }
首次開通MaxCompute服務
您可以在開通MaxCompute服務時單擊建立服務關聯角色進行授權。
已開通MaxCompute服務
進入存取控制快速授權頁面,進行角色授權。
查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForMaxComputeIdentityMgmt查看該服務關聯角色的以下資訊:
基本資料
在AliyunServiceRoleForMaxComputeIdentityMgmt角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在AliyunServiceRoleForMaxComputeIdentityMgmt角色詳情頁面的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容以及該角色可授權訪問哪些雲資源。
信任策略
在AliyunServiceRoleForMaxComputeIdentityMgmt角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
關於如何查看服務關聯角色的詳細操作,請參見查看RAM角色。
刪除服務關聯角色
當您長時間不使用MaxCompute時,您可以在RAM控制台手動刪除服務關聯角色。具體操作,請參見刪除RAM角色。
刪除AliyunServiceRoleForMaxComputeIdentityMgmt服務關聯角色,MaxCompute將不能訪問其他巨量資料計算平台其他雲產品,需謹慎操作。