您可以使用云助手的运维任务执行记录投递功能,将运维任务执行记录投递到您指定的对象存储OSS或日志服务SLS中,进行持久化存储。而AliyunServiceRoleForECSArchiving是云助手为了完成该功能,需要获取其他云服务的访问权限而提供的RAM服务关联角色。

背景信息

服务关联角色是与某个云服务关联的角色,拥有完成对应操作所必须的权限,例如运维任务执行记录投递服务关联角色AliyunServiceRoleForECSArchiving拥有投递云助手运维任务执行记录所需的访问日志服务SLS对象存储OSS资源的权限。更多关于服务关联角色的信息,请参见服务关联角色

创建AliyunServiceRoleForECSArchiving

在您使用运维任务执行记录投递功能时,系统会检查当前账号是否存在AliyunServiceRoleForECSArchiving,如果不存在则自动创建。该服务关联角色已添加权限策略AliyunServiceRolePolicyForECSArchiving,云助手通过扮演该服务关联角色即可拥有其权限。

服务关联角色的权限由对应的云服务定义,不支持自行为服务关联角色添加、修改或删除权限。您可以在RAM控制台查看角色的权限策略以及权限详情,具体操作,请参见查看RAM角色基本信息查看权限策略基本信息。AliyunServiceRoleForECSArchiving的策略内容如下所示:
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "oss:PutObject",
        "oss:GetBucketInfo",
        "log:GetProject",
        "log:GetLogStore",
        "log:CreateLogStore",
        "log:PostLogStoreLogs",
        "log:GetIndex",
        "log:CreateIndex"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "archiving.ecs.aliyuncs.com"
        }
      }
    }
  ]
}

删除AliyunServiceRoleForECSArchiving

如果您的账号已经创建了AliyunServiceRoleForECSArchiving,当不再需要使用时,可以手动删除AliyunServiceRoleForECSArchiving。

  1. 登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 在搜索框中,输入AliyunServiceRoleForECSArchiving。
    自动搜索到名称为AliyunServiceRoleForECSArchiving的RAM角色。
  4. 操作列中,单击删除
  5. 单击确定
    为避免误删AliyunServiceRoleForECSArchiving导致无法正常使用运维任务执行记录投递功能,如果已经在任一地域下开启运维任务执行记录投递功能,会删除失败并报错。您可以在报错信息中查看已经开启该功能的地域,在关闭该功能后再尝试删除,如下图所示。delete-error

更多关于删除服务关联角色的信息,请参见删除服务关联角色

常见问题

为什么我的RAM用户无法自动创建AliyunServiceRoleForECSArchiving?

如果您需要使用RAM用户登录操作,必须先使用阿里云账号为RAM用户授予指定的权限,然后才能自动创建AliyunServiceRoleForECSArchiving。具体操作,请参见为RAM用户授权。权限策略内容如下:
说明 请将<account ID>替换为您阿里云账号的UID。
{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:<account ID>:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "archiving.ecs.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}