本文為您介紹Resource Orchestration Service的服務關聯角色(AliyunServiceRoleForROSStackGroupsRDAdmin和AliyunServiceRoleForROSStackGroupsRDMember)。
什麼是服務關聯角色
服務關聯角色是一種可信實體為阿里雲服務的RAM角色。Resource Orchestration Service使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。
通常情況下,服務關聯角色是在您執行某項操作時,由系統自動建立。在自動建立服務關聯角色失敗或Resource Orchestration Service不支援自動建立時,您需要手動建立服務關聯角色。
阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則,該策略不支援修改。如果您想瞭解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。詳情請參見系統策略參考。
應用情境
ROS服務關聯角色(AliyunServiceRoleForROSStackGroupsRDAdmin和AliyunServiceRoleForROSStackGroupsRDMember)是在使用具有服務系統管理權限模式的資源棧組情況下,為了擷取管理員帳號下的資來源目錄帳號和對成員帳號部署資源棧,需要擷取其他雲端服務的存取權限,而提供的RAM角色。
關於服務關聯角色的更多資訊,請參見服務關聯角色。
RAM使用者使用服務關聯角色需要的許可權
AliyunServiceRoleForROSStackGroupsRDAdmin
權限原則:AliyunServiceRolePolicyForROSStackGroupsRDAdmin。
許可權說明:ROS使用此角色來擷取資來源目錄的帳號資訊。
{ "Statement": [ { "Action": [ "resourcemanager:ListAccountsForParent", "resourcemanager:ListFoldersForParent", "resourcemanager:ListAncestors" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "acs:ram:*:*:role/stackgroups-exec-*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "stackgroups-admin.ros.aliyuncs.com" } } } ], "Version": "1" }AliyunServiceRoleForROSStackGroupsRDMember
權限原則:AliyunServiceRolePolicyForROSStackGroupsRDMember。
許可權內容:ROS使用此角色來動態建立
stackgroups-exec-開頭的RAM角色,並以此身份部署資源棧。{ "Statement": [ { "Action": [ "ram:CreateRole", "ram:GetRole", "ram:DeleteRole" ], "Effect": "Allow", "Resource": "acs:ram:*:*:role/stackgroups-exec-*" }, { "Action": [ "ram:AttachPolicyToRole", "ram:DetachPolicyFromRole" ], "Effect": "Allow", "Resource": [ "acs:ram:*:*:role/stackgroups-exec-*", "acs:ram:*:system:policy/AdministratorAccess" ] }, { "Action": [ "ram:ListPolicyAttachments", "ram:DetachPolicy" ], "Effect": "Allow", "Resource": [ "acs:ram:*:*:*" ] }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "stackgroups-member.ros.aliyuncs.com" } } } ], "Version": "1" }
建立服務關聯角色
當管理員帳號在具有服務系統管理權限的資源棧組中建立資源棧執行個體時,系統會自動在管理員帳號下建立服務關聯角色AliyunServiceRoleForROSStackGroupsRDAdmin,以此身份擷取資來源目錄下的帳號資訊。在擷取到的所有成員帳號中建立服務關聯角色AliyunServiceRoleForROSStackGroupsRDMember,以此身份動態建立stackgroups-exec-開頭的普通RAM角色,並以此身份部署資源棧。stackgroups-exec-開頭的角色會在資源棧執行個體被成功刪除時刪除。
具體操作,請參見步驟三:建立資源棧組。
查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面,通過搜尋AliyunServiceRoleForROSStackGroupsRDAdmin和AliyunServiceRoleForROSStackGroupsRDMember查看該服務關聯角色的以下資訊:
基本資料
在AliyunServiceRoleForROSStackGroupsRDAdmin和AliyunServiceRoleForROSStackGroupsRDMember角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在AliyunServiceRoleForROSStackGroupsRDAdmin和AliyunServiceRoleForROSStackGroupsRDMember角色詳情頁面的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容以及該角色可授權訪問哪些雲資源。
信任策略
在AliyunServiceRoleForROSStackGroupsRDAdmin和AliyunServiceRoleForROSStackGroupsRDMember角色詳情頁的信任策略管理頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service欄位查看。
關於如何查看服務關聯角色的詳細操作,請參見查看RAM角色。
刪除服務關聯角色
如果您需要刪除管理員帳號中的ROS服務關聯角色(AliyunServiceRoleForROSStackGroupsRDAdmin),需要先刪除管理員帳號中所有具有服務系統管理權限的資源棧組。
如果您需要刪除成員帳號中的ROS服務關聯角色(AliyunServiceRoleForROSStackGroupsRDMember),需要先刪除與此成員帳號相關的資源棧執行個體。
登入RAM控制台。
在左側導覽列,選擇。
在角色頁面,單擊目標RAM角色操作列的刪除角色。
在刪除角色對話方塊,輸入RAM角色名稱,然後單擊刪除角色。
如果RAM角色被授予了權限原則,刪除角色時,會同時解除授權。
對於刪除失敗的任務,您可以在角色列表的右上方,單擊角色刪除任務,查看詳情。