本文介绍应用安全服务关联角色AliyunServiceRoleForARMSSecurity以及如何删除该角色。
背景信息
应用安全服务关联角色AliyunServiceRoleForARMSSecurity是ARMS因为需要获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息,请参见服务关联角色。
AliyunServiceRoleForARMSSecurity应用场景
应用安全功能需要访问阿里云安全服务的资源时,可通过自动创建的应用安全服务关联角色AliyunServiceRoleForARMSSecurity获取访问权限。
AliyunServiceRoleForARMSSecurity权限说明
AliyunServiceRoleForARMSSecurity具备以下云服务的访问权限:
删除AliyunServiceRoleForARMSSecurity
如果您使用了应用安全功能,然后需要删除应用安全服务关联角色AliyunServiceRoleForARMSSecurity(例如您出于安全考虑,需要删除该角色),则需要先明确删除后的影响:删除AliyunServiceRoleForARMSSecurity后,将无法正常查看应用安全相关页面。如需继续使用应用安全服务,则需要重新授权。
删除AliyunServiceRoleForARMSSecurity的操作步骤如下:
如果当前账号下存在应用已接入应用安全,请先取消接入并重启,然后再删除角色,否则会导致删除失败。应用取消接入的操作,请参见取消接入目标应用。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在角色页面的搜索框通过关键词搜索名称为AliyunServiceRoleForARMSSecurity的RAM角色。
在角色页面,单击目标RAM角色操作列的删除角色。
在删除角色对话框,输入RAM角色名称,然后单击删除角色。
如果RAM角色被授予了权限策略,删除角色时,会同时解除授权。
对于删除失败的任务,您可以在角色列表的右上方,单击角色删除任务,查看详情。
常见问题
Q:为什么我的RAM用户无法自动创建ARMS服务关联角色AliyunServiceRoleForARMSSecurity?
A:RAM用户需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForARMSSecurity。因此,在RAM用户无法自动创建AliyunServiceRoleForARMSSecurity时,您需要为RAM用户添加指定自定义权限策略或名称为AliyunARMSFullAccess系统策略。
自定义权限策略和系统策略的使用场景如下:
指定自定义策略可以用于为只读RAM用户仅添加使用应用安全的权限。
名称为AliyunARMSFullAccess系统策略可以为RAM用户添加管理ARMS的所有权限(包括应用安全的使用权限)。
(可选)步骤一:创建自定义权限策略
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。在策略文档中输入以下自定义权限策略内容。
{ "Statement": [{ "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:主账号ID:role/*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": [ "security.arms.aliyuncs.com" ] } } }, { "Action": "arms:CreateSecurityAuth", "Effect": "Allow", "Resource": "*" }], "Version": "1" }
说明请将
主账号ID
替换为您实际的阿里云账号(主账号)ID。单击页面上方的可选:高级策略优化,然后单击执行,对权限策略内容进行高级优化。
高级权限策略优化功能会完成以下任务:
拆分不兼容操作的资源或条件。
收缩资源到更小范围。
去重或合并语句。
在创建权限策略页面,单击确定。
在创建权限策略对话框,输入权限策略名称和备注,然后单击确定。
步骤二:为RAM用户添加权限策略。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。
在新增授权面板,为RAM用户添加权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
重要指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体。
授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。
选择权限策略。
权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。
单击确认新增授权。
单击关闭。