受信云服务可以通过扮演RAM角色来访问其他的云资源。可信实体为阿里云服务的RAM角色分为普通服务角色和服务关联角色两种。本文主要介绍服务关联角色。
什么是服务关联角色
在某些场景下,一个云服务为了完成自身的某个功能,需要获取其他云服务的访问权限。例如:配置审计(Config)服务要读取您的云资源信息,以获取资源列表和变更历史,就需要获取ECS、RDS等产品的访问权限。阿里云提供了服务关联角色 SLR(Service Linked Role)来满足此类场景的需求。
服务关联角色是与某个云服务关联的角色。多数情况下,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好的配置云服务正常操作所必须的权限,避免误操作带来的风险。
服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。
不支持服务关联角色的云服务,请使用普通服务角色获取其他云服务的访问权限。
创建服务关联角色
某些云服务将在您执行某些特定操作(例如:创建一个云资源或开启一个功能)时自动创建服务关联角色,您可以在RAM控制台的角色管理页面、API或CLI调用ListRoles的返回结果中查看自动创建的服务关联角色。
此外,您也可以主动创建服务关联角色,详情请参见创建服务关联角色。
- 服务关联角色会占用您的RAM角色配额。当RAM角色数量超限时,您仍然可以成功创建服务关联角色,但无法创建其他类型的角色。
- 关于云服务自动创建服务关联角色的详情,请参见对应云服务的文档说明。
删除服务关联角色
某些云服务将在您执行某些特定操作(例如:删除所有资源或关闭一个功能)时自动删除已创建的服务关联角色,但您也可以从控制台主动删除。关于主动删除服务关联角色,详情请参见删除RAM角色。
当您尝试删除一个服务关联角色时,RAM会先检查这个角色是否仍被云资源使用:
- 如果为否,您可以直接删除该服务关联角色。
- 如果为是,您暂不能删除该服务关联角色,但可以查看哪些云资源在使用该角色。您需要找到对应的云资源并手动清理这些云资源,然后再删除该服务关联角色。
创建和删除服务关联角色所需的权限
您需要拥有指定的权限,才能创建或删除服务关联角色。自动创建服务关联角色的场景也需要具备对应权限。
权限策略示例:允许为资源管理(Resource Management)创建和删除服务关联角色。
{
"Action": [
"ram:CreateServiceLinkedRole",
"ram:DeleteServiceLinkedRole"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}使用服务关联角色
服务关联角色仅限关联的对应云服务使用,其他身份(例如:普通RAM用户、其他RAM角色)都无法扮演该角色。
您可以在已创建的服务关联角色的信任策略管理页签中,通过Service字段查看可以使用该角色的云服务。
支持服务关联角色的云服务
| 云服务 | 服务名称 | 服务关联角色 | 相关文档 |
|---|---|---|---|
| 资源管理 | resourcemanager.aliyuncs.com | AliyunServiceRoleForResourceDirectory | 资源目录服务关联角色 |
| 配置审计 | config.aliyuncs.com | AliyunServiceRoleForConfig | 管理服务关联角色 |
| 云数据库 PolarDB | polardb.aliyuncs.com | AliyunServiceRoleForPolarDB | PolarDB服务关联角色 |
| 混合云备份服务 | dr.hbr.aliyuncs.com | AliyunServiceRoleForHbrDr | HBR ECS容灾的服务关联角色 |
| 运维编排 | bandwidthscheduler.oos.aliyuncs.com | AliyunServiceRoleForOOSBandwidthScheduler | OOS服务关联角色 |
| instancescheduler.oos.aliyuncs.com | AliyunServiceRoleForOOSInstanceScheduler | ||
| 弹性伸缩 | ess.aliyuncs.com | AliyunServiceRoleForAutoScaling | 开通和授权服务 |
| 时序数据库TSDB | hitsdb.aliyuncs.com | AliyunServiceRoleForTSDB |
无 |
| 云监控 | cloudmonitor.aliyuncs.com | AliyunServiceRolePolicyForCloudMonitor | 云监控服务关联角色 |
| 区块链服务BaaS | baas.aliyuncs.com | AliyunServiceRoleForBaaS |
无 |
| 全局流量管理 | gtm.aliyuncs.com | AliyunServiceRoleForGTM | 全局流量管理服务关联角色 |
| 云解析DNS | alidns.aliyuncs.com | AliyunServiceRoleForDNS |
无 |
| 敏感数据保护 | sddp.aliyuncs.com | AliyunServiceRoleForSDDP | 授权SDDP访问云资源 |
| CDN | cdn-ddos.cdn.aliyuncs.com | AliyunServiceRoleForCDNAccessingDDoS | 配置CDN联动DDoS高防 |