全部产品
Search
文档中心

配置审计:配置审计服务关联角色

更新时间:Jul 17, 2023

配置审计服务关联角色(AliyunServiceRoleForConfig)是在某些场景下,为了完成配置审计的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。

说明

更多关于服务关联角色的信息,请参见服务关联角色

应用场景

  • 当配置审计调用各云服务的API查询接口,获取云资源的配置信息时,需要通过服务关联角色获取云资源配置信息的读取权限。

  • 当您设置对象存储OSS的存储空间(Bucket)用于接收资源快照时,配置审计需向您指定的存储空间写入快照文件,需要通过服务关联角色获取存储空间的写入权限。

  • 当您设置日志服务SLS的日志库(Logstore)用于接收资源日志时,配置审计需向您指定的日志库写入日志文件,需要通过服务关联角色获取日志库的写入权限。

  • 当您设置消息服务MNS的主题用于接收资源事件时,配置审计需向您指定的主题写入资源事件,需要通过服务关联角色获取主题的写入权限。

角色说明

配置审计服务关联角色的详细信息如下:

  • 角色名称:AliyunServiceRoleForConfig。

  • 角色权限策略名称:AliyunServiceRolePolicyForConfig。

  • 角色权限策略说明:授予配置审计服务读取云资源配置信息的权限,以及资源快照写入对象存储OSS存储空间、资源日志写入日志服务SLS日志库和资源事件写入消息服务MNS的权限。

    说明

    关于权限策略内容,请参见AliyunServiceRolePolicyForConfig

创建服务关联角色

在配置审计控制台上,创建服务关联角色的操作方法如下:

  • 单账号

    当您开通配置审计服务时,自动创建服务关联角色。具体操作,请参见开通配置审计服务

  • 多账号

    当您将资源目录中的所有或部分成员账号添加到账号组时,配置审计自动为该账号组中的所有成员账号创建服务关联角色。关于账号组,请参见账号组

删除服务关联角色

当您需要注销账号时,需要删除配置审计服务关联角色,该角色不能直接删除,具体操作如下:

  1. 登录配置审计控制台,关闭配置审计服务。

    具体操作,请参见关闭配置审计服务

  2. 登录RAM控制台,删除配置审计服务关联角色。

    具体操作,请参见删除RAM角色

关于不同账号删除服务关联角色的方法,请参见如何删除配置审计服务关联角色?