全部产品
Search
文档中心

容器镜像服务 ACR:访问VPC的服务关联角色

更新时间:Jan 23, 2024

使用镜像导入功能将个人版实例镜像导入到企业版实例时,系统会自动创建服务关联角色AliyunServiceRoleForContainerRegistryConnectCustomerVPC。本文介绍该角色的应用场景以及如何删除该角色。

应用场景

ACR的镜像导入功能需要通过VPC迁移镜像数据。使用镜像导入功能将个人版实例镜像导入到企业版实例时,系统会自动创建服务关联角色AliyunServiceRoleForContainerRegistryConnectCustomerVPC,通过该角色获取访问VPC内资源权限。

AliyunServiceRoleForContainerRegistryConnectCustomerVPC介绍

  • 角色名称:AliyunServiceRoleForContainerRegistryConnectCustomerVPC

  • 角色权限策略:AliyunServiceRolePolicyForContainerRegistryConnectCustomerVPC

  • 权限说明:

    {
      "Action": [
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeSecurityGroups"           
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVSwitches",
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

删除AliyunServiceRoleForContainerRegistryConnectCustomerVPC

  1. 使用阿里云账号登录RAM控制台

  2. 在控制台左侧导航栏选择身份管理 > 角色

  3. 角色页面搜索框中搜索AliyunServiceRoleForContainerRegistryConnectCustomerVPC,找到AliyunServiceRoleForContainerRegistryConnectCustomerVPC,然后单击AliyunServiceRoleForContainerRegistryConnectCustomerVPC右侧操作列下的删除

  4. 在弹出的对话框单击确定

FAQ

为什么RAM用户无法自动创建服务关联角色AliyunServiceRoleForContainerRegistryConnectCustomerVPC?

您需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForContainerRegistryConnectCustomerVPC。RAM用户无法自动创建AliyunServiceRoleForContainerRegistryConnectCustomerVPC时,您需为其添加以下权限策略。具体操作,请参见RAM授权信息

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:阿里云账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "connect-customer-vpc.cr.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

相关文档

服务关联角色是在某些情况下,为了完成ACR自身的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。更多服务关联角色的信息,请参见服务关联角色