Table Store服務關聯角色 - Tablestore

Table Store服務關聯角色是Table Store為訪問其他雲端服務資源（如OSS、PrivateLink）而建立的RAM角色。在控制台使用相關功能時，系統自動建立對應的服務關聯角色。

建立服務關聯角色

使用Table Store的以下功能時，系統會自動建立對應的服務關聯角色。每個服務關聯角色提供一個系統權限原則，該策略不支援修改。

功能	服務關聯角色
資料湖投遞	AliyunServiceRoleForOTSDataDelivery
PrivateLink私網串連	AliyunServiceRoleForOTSPrivateLink

服務關聯角色列表

以下詳細介紹各功能關聯角色的具體許可權和適用情境。

AliyunServiceRoleForOTSDataDelivery

資料湖投遞功能需要訪問OSS資源，用於將Table Store資料投遞到OSS。通過該角色實現跨服務資料轉送的許可權控制，支援的OSS操作包括PutObject、AbortMultipartUpload、PutObjectTagging、GetObject和DeleteObjectTagging。

關聯絡統策略名稱稱：AliyunServiceRolePolicyForOTSDataDelivery

授權策略內容：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "oss:PutObject",
        "oss:AbortMultipartUpload",
        "oss:PutObjectTagging",
        "oss:GetObject",
        "oss:DeleteObjectTagging"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "datadelivery.ots.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForOTSPrivateLink

使用私網串連功能需要通過該角色建立終端節點PrivateLink。

關聯絡統策略名稱稱：AliyunServiceRolePolicyForOTSPrivateLink

授權策略內容：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "privatelink:OpenPrivateLinkService",
        "privatelink:CheckProductOpen",
        "privatelink:ListVpcEndpointServices",
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:UpdateVpcEndpointAttribute",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:AttachSecurityGroupToVpcEndpoint",
        "privatelink:DetachSecurityGroupFromVpcEndpoint",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:ListVpcEndpointServicesByEndUser",
        "vpc:DescribeVpcs",
        "ecs:DescribeSecurityGroups",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "pvl.ots.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    }
  ]
}

刪除服務關聯角色

當不再使用相關功能時，可在RAM控制台刪除對應的服務關聯角色。

重要

刪除前需確保當前帳號下所有執行個體均未使用對應功能。刪除服務關聯角色後，相關功能將無法正常使用。
刪除AliyunServiceRoleForOTSPrivateLink前，需在Table Store控制台先解除綁定PVL，否則將導致角色刪除失敗。

登入RAM控制台。
在左側導覽列，選擇身份管理 > 角色。
搜尋要刪除的角色名稱，如AliyunServiceRoleForOTSDataDelivery。
點擊操作列的刪除角色，按頁面提示完成角色刪除。

常見問題

為什麼使用RAM使用者無法自動建立Table Store服務關聯角色？

只有擁有指定許可權的使用者，才能自動建立或刪除Table Store服務關聯角色。當RAM使用者無法自動建立Table Store服務關聯角色時，需要為RAM使用者添加如下權限原則。

使用時請將主帳號ID替換為實際的阿里雲帳號（主帳號）ID。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*: 主帳號ID :role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "datadelivery.ots.aliyuncs.com",
                        "pvl.ots.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}