云服务器ECS的网络连通性诊断功能用于检测两个对象间网络的连通性,在创建诊断线路和发起诊断任务前,需要为云服务器ECS获取访问相关云资源的权限。本文介绍如何通过网络连通性诊断服务关联角色AliyunServiceRoleForECSNetworkInsights授予云服务器ECS权限。

前提条件

如果您需要使用RAM用户登录操作,必须提前使用阿里云账号授权RAM用户使用网络连通性诊断服务,然后才能够管理网络连通性诊断服务关联角色。具体操作,请参见为RAM用户授权
授权RAM用户使用网络连通性诊断功能的权限策略内容如下:
说明 请将<account ID>替换为您阿里云账号的UID。
{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:<account ID>:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "network-insights.ecs.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

背景信息

服务关联角色是与某个云服务关联的角色,拥有完成对应操作所必须的权限,例如网络连通性诊断服务关联角色AliyunServiceRoleForECSNetworkInsights拥有完成创建诊断线路、发起诊断任务操作所需的访问VPC资源的权限。更多服务关联角色的信息,请参见服务关联角色

创建AliyunServiceRoleForECSNetworkInsights

在您创建诊断线路和发起诊断任务时,系统会检查当前账号是否存在AliyunServiceRoleForECSNetworkInsights,如果不存在则自动创建。该服务关联角色已添加权限策略AliyunServiceRolePolicyForECSNetworkInsights,云服务器ECS通过扮演该服务关联角色即可拥有其权限。

服务关联角色的权限由对应的云服务定义,不支持自行为服务关联角色添加、修改或删除权限。您可以在RAM控制台查看角色的权限策略以及权限详情,具体操作,请参见查看RAM角色基本信息查看权限策略基本信息。AliyunServiceRolePolicyForECSNetworkInsights的策略内容如下所示:
{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "vpc:DescribeNetworkAcls",
                "vpc:DescribeNetworkAclAttributes",
                "vpc:DescribeNatGateways",
                "vpc:DescribeRouteEntryList",
                "vpc:DescribeRouteTableList",
                "vpc:DescribeRouteTables",
                "vpc:DescribeRouterInterfaceAttribute",
                "vpc:DescribeRouterInterfaces",
                "vpc:DescribeVRouters",
                "antiddos-public:DescribeInstance"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "network-insights.ecs.aliyuncs.com"
                }
            }
        }
    ]
}

删除AliyunServiceRoleForECSNetworkInsights

如果您的账号已经创建了AliyunServiceRoleForECSNetworkInsights,当不再需要使用时,可以手动删除AliyunServiceRoleForECSNetworkInsights。具体操作说明如下:

  1. 登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 在搜索框中,输入AliyunServiceRoleForECSNetworkInsights。
    自动搜索并显示AliyunServiceRoleForECSNetworkInsights。
  4. 操作列中,单击删除
  5. 单击确定

更多删除服务关联角色的信息,请参见服务关联角色中的删除服务关联角色部分。