配置专有网络访问控制时,ACR会自动为您创建一个服务关联角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,便于ACR通过您的云解析PrivateZone自动进行域名解析。本文介绍该服务关联角色基本信息、常见问题以及如何删除该服务关联角色。

背景信息

服务关联角色是在某些情况下,为了完成ACR自身的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。更多服务关联角色的信息,请参见服务关联角色

应用场景

ACR的专有网络访问控制功能需要使用云解析PrivateZone为VPC域名设置DNS解析。创建专有网络时,ACR会自动创建服务关联角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,ACR会通过该角色获取访问云解析PrivateZone内资源的权限。

角色介绍

  • 角色名称:AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone
  • 角色权限策略:AliyunServiceRolePolicyForContainerRegistryAccessCustomerPrivate
  • 角色权限说明:
    {
        "Action": [
            "pvtz:AddZone",
            "pvtz:DeleteZone",
            "pvtz:BindZoneVpc",
            "pvtz:UpdateZoneRemark",
            "pvtz:SetProxyPattern",
            "pvtz:DescribeRegions",
        "pvtz:DescribeZoneInfo",
        "pvtz:DescribeZones",
        "pvtz:AddZoneRecord",
        "pvtz:DeleteZoneRecord",
        "pvtz:UpdateRecordRemark",
        "pvtz:DescribeZoneRecords"
        ],
      "Resource": "*",
      "Effect": "Allow"
    }

删除角色

当您不需要使用专有网络访问控制功能时,您可以删除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone角色。

  1. 删除专有网络。

    删除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone之前,您需要先删除专有网络。

    1. 登录容器镜像服务控制台
    2. 在左侧导航栏,选择实例列表
    3. 实例列表页面单击目标企业版实例。
    4. 在企业版实例管理页面选择仓库管理 > 访问控制
    5. 专有网络页签下单击专有网络右侧操作列下的删除
    6. 在弹出的对话框单击确定
  2. 使用阿里云账号登录RAM控制台
  3. 在控制台左侧导航栏选择身份管理 > 角色
  4. 角色页面搜索框中搜索AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone,然后单击AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone右侧操作列下的删除
  5. 在弹出的对话框单击确定

FAQ

为什么RAM用户无法自动创建服务关联角色AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone?

您需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone。RAM用户无法自动创建AliyunServiceRoleForContainerRegistryAccessCustomerPrivateZone时,您需为其添加以下权限策略。具体操作,请参见授予RAM用户自定义策略
{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:阿里云账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "access-customer-privatezone.cr.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}