EAS自營運資源服務關聯角色 - Platform For AI

在使用EAS自營運資源群組時，EAS通過服務關聯角色AliyunServiceRoleForPaiEasManageCustomerClusters擷取其他雲端服務的存取權限。在首次使用EAS自營運資源群組時，需要為阿里雲帳號授予該角色的許可權。本文為您介紹AliyunServiceRoleForPaiEasManageCustomerClusters角色擁有的存取權限以及如何刪除該角色。

背景資訊

EAS服務關聯角色AliyunServiceRoleForPaiEasManageCustomerClusters是EAS在使用自營運資源群組時，需要擷取其他雲端服務的存取權限以完成特定功能而提供的RAM角色。更多關於服務關聯角色的資訊請參見服務關聯角色。

當EAS部分功能需要訪問雲端服務中的私網串連PrivateLink、Virtual Private Cloud、Elastic Compute Service、Container ServiceACK、Log ServiceSLS、雲解析PrivateZone的資源時，您可以通過EAS服務關聯角色AliyunServiceRoleForPaiEasManageCustomerClusters擷取存取權限。

AliyunServiceRoleForPaiEasManageCustomerClusters許可權說明

AliyunServiceRoleForPaiEasManageCustomerClusters擁有以下雲端服務的存取權限：

私網串連PrivateLink的存取權限

{
      "Action": [
        "privatelink:OpenPrivateLinkService",
        "privatelink:CheckProductOpen",
        "privatelink:ListVpcEndpointServices",
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:UpdateVpcEndpointAttribute",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:AttachSecurityGroupToVpcEndpoint",
        "privatelink:DetachSecurityGroupFromVpcEndpoint",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:DeleteVpcEndpoint"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

Virtual Private Cloud的存取權限

{
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVpcAttribute",
        "vpc:DescribeVSwitches",
        "vpc:DescribeVSwitchAttributes"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

Elastic Compute Service的存取權限

{
      "Action": [
        "ecs:DescribeSecurityGroups",
        "ecs:CreateSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

Container ServiceACK的存取權限

{
      "Action": [
        "cs:DescribeClusterDetail",
        "cs:DescribeClusterUserKubeconfig"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

Log ServiceSLS的存取權限

{
      "Action": [
        "log:GetIndex",
        "log:GetConfig",
        "log:GetLogStore",
        "log:GetProject",
        "log:GetLogStoreLogs",
        "log:GetMachineGroup",
        "log:CreateConfig",
        "log:CreateIndex",
        "log:CreateLogStore",
        "log:CreateMachineGroup",
        "log:CreateProject",
        "log:DeleteConfig",
        "log:DeleteIndex",
        "log:DeleteLogStore",
        "log:DeleteMachineGroup",
        "log:DeleteProject",
        "log:ApplyConfigToGroup"
      ],
      "Resource":  [
        "acs:log:*:*:project/*/logstore/eas-*",
        "acs:log:*:*:project/eas-*"
      ],
      "Effect": "Allow"
    }

雲解析PrivateZone的存取權限

{
      "Action": [
        "pvtz:AddZone",
        "pvtz:BindZoneVpc",
        "pvtz:AddZoneRecord",
        "pvtz:DeleteZone"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

刪除AliyunServiceRoleForPaiEasManageCustomerClusters

如果您已經部署了EAS服務，且出於安全或其他方面的考慮想要刪除服務關聯角色AliyunServiceRoleForPaiEasManageCustomerClusters，則需要明確刪除該角色可能帶來的影響。刪除AliyunServiceRoleForPaiEasManageCustomerClusters後，您將無法再使用自營運資源群組進行服務的部署和更新操作，並且無法使用已經部署在自營運資源群組中的服務。

刪除AliyunServiceRoleForPaiEasManageCustomerClusters的操作步驟如下：

登入RAM控制台。
在左側導覽列，選擇身份管理 > 角色。
在角色頁面的搜尋方塊中，輸入AliyunServiceRoleForPaiEasManageCustomerClusters，系統會自動搜尋到名稱為AliyunServiceRoleForPaiEasManageCustomerClusters的RAM角色。
在角色頁面，單擊目標RAM角色操作列的刪除角色。
在刪除角色對話方塊，輸入RAM角色名稱，然後單擊刪除角色。