建立、查看和刪除NAS服務關聯角色 - File Storage NAS

工作原理

服務關聯角色是一種可信實體為阿里雲服務的存取控制（RAM）角色。NAS 使用服務關聯角色代替您訪問其他雲端服務或雲資源，免去手動設定存取權限的步驟。

通常情況下，NAS 在您執行相關操作時自動建立所需角色。若自動建立失敗，或 NAS 不支援為該角色自動建立，則需要手動建立。

每個服務關聯角色對應一個由Resource Access Management的系統權限原則，該策略不支援修改。如需查看具體內容，可在RAM控制台進入該角色的詳情頁面查看。

說明

關於服務關聯角色的更多資訊，請參見服務關聯角色。

應用情境

NAS 根據您使用的功能自動建立對應的服務關聯角色：

角色	建立時機	訪問的雲端服務
AliyunServiceRoleForNasStandard	為通用型 NAS 檔案系統建立傳統網路類型掛載點時	Elastic Compute Service（查詢資源清單，實現鑒權邏輯）
AliyunServiceRoleForNasExtreme	為極速型 NAS 檔案系統建立掛載點時	Virtual Private Cloud和Elastic Compute Service
AliyunServiceRoleForNasEncryption	建立Key Management Service（KMS）加密的檔案系統時	Key Management Service（擷取密鑰資訊並添加標籤，防止誤刪除）
AliyunServiceRoleForNasLogDelivery	啟用 NAS 日誌分析功能時	Log Service SLS（建立 Project 和 Logstore，轉儲日誌資料）
AliyunServiceRoleForNasBackup	為通用型檔案系統啟用檔案備份功能時	雲備份 HBR（開通服務並建立備份計劃）
AliyunServiceRoleForNasEcsHandler	在 NAS 控制台使用一鍵掛載功能時	ECS 雲助手（在ECS執行個體上執行掛載、卸載及狀態查詢命令）

更多服務關聯角色的資訊，請參見服務關聯角色。

許可權說明

NAS 服務關聯角色的許可權內容如下：

AliyunServiceRoleForNasStandard

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasExtreme

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasEncryption

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasLogDelivery

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasBackup

{
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}

AliyunServiceRoleForNasEcsHandler

{
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}

RAM 使用者使用服務關聯角色需要的許可權

RAM 使用者預設沒有建立或刪除服務關聯角色的許可權。如需授權，聯絡管理員為該RAM使用者授予 AliyunNASFullAccess 許可權，或在自訂權限原則的 Action 語句中添加以下許可權：

建立服務關聯角色：ram:CreateServiceLinkedRole
刪除服務關聯角色：ram:DeleteServiceLinkedRole

關於授權的詳細操作，請參見管理服務關聯角色所需的許可權。

查看服務關聯角色

在RAM 控制台的角色頁面，搜尋服務關聯角色名稱（例如 AliyunServiceRoleForNasStandard），進入角色詳情頁面可查看以下資訊：

基本資料

在基本資料地區，查看角色名稱、建立時間、角色 ARN 和備忘等。

權限原則

在許可權管理頁簽，單擊權限原則名稱，查看策略內容及該角色可訪問的雲資源範圍。

信任策略

在信任策略頁簽，查看信任策略內容。信任策略定義了哪些實體可以扮演該角色。服務關聯角色的可信實體為阿里雲服務，可通過策略中的 Service 欄位確認。

關於如何查看服務關聯角色的詳細操作，請參見查看RAM角色。

刪除服務關聯角色

當某項功能不再使用時，可刪除對應的服務關聯角色。例如，不再需要建立 KMS 加密檔案系統時，可刪除 AliyunServiceRoleForNasEncryption。刪除前，須先刪除該角色關聯的檔案系統執行個體。具體操作，請參見刪除檔案系統和刪除服務關聯角色。

重要

刪除服務關聯角色後，依賴該角色的對應功能將無法正常使用，請謹慎操作。

常見問題

為什麼我的RAM使用者無法自動建立 NAS 服務關聯角色？

RAM 使用者預設缺少建立服務關聯角色的許可權。為該RAM使用者附加以下權限原則即可解決。將 主帳號ID 替換為實際的阿里雲帳號（主帳號）ID。具體操作，請參見建立自訂權限原則。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主帳號ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}