您在开通全站加速的离线日志转存功能时,系统会自动创建服务关联角色AliyunServiceRoleForDCDNLogDelivery并进行授权,用于访问OSS和DLA的资源。
什么是AliyunServiceRoleForDCDNLogDelivery
AliyunServiceRoleForDCDNLogDelivery是全站加速的一种服务关联角色SLR(Service Linked Role)。当您开通全站加速的离线日志转存功能时,全站加速需要拥有该服务关联角色才能访问OSS和DLA的资源,实现离线日志自动化转存,确保日志存储地理位置合规。更多关于服务关联角色的信息,请参见服务关联角色。
创建服务关联角色AliyunServiceRoleForDCDNLogDelivery
当您首次开通全站加速的离线日志转存功能时,系统会自动创建一个名称为AliyunServiceRoleForDCDNLogDelivery的服务关联角色,并为该服务关联角色授予AliyunServiceRolePolicyForDCDNLogDelivery权限策略。全站加速通过扮演该角色,允许日志转存服务访问您的OSS和DLA资源,您可以对OSS和DLA进行以下操作:
- OSS:支持创建和查询OSS Bucket,且支持对OSS进行写入、查询和删除操作。
- DLA:支持开启、查询和停止DLA任务。
注意 如果全站加速已经拥有服务关联角色AliyunServiceRoleForDCDNLogDelivery,则不会重复创建该服务关联角色。
权限策略内容如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"openanalytics:CreateInstance",
"openanalytics:UpgradeInstance",
"openanalytics:ReleaseInstance",
"openanalytics:ExecuteSQL",
"openanalytics:QueryExecute",
"openanalytics:DescribeVirtualCluster",
"openanalytics:ListSparkJob",
"openanalytics:GetJobStatus",
"openanalytics:GetJobDetail",
"openanalytics:GetJobLog",
"openanalytics:KillSparkJob",
"openanalytics:SubmitSparkJob"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"oss:PutBucket",
"oss:GetBucketInfo"
],
"Effect": "Allow",
"Resource": "acs:oss:*:*:alicdn-log-delivery-*"
},
{
"Action": [
"oss:GetObject",
"oss:PutObject"
],
"Effect": "Allow",
"Resource": "acs:oss:*:*:alicdn-log-delivery-*/alicdn-offline-log/*"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "openanalytics.aliyuncs.com"
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "logdelivery.dcdn.aliyuncs.com"
}
}
}
]
}删除服务关联角色AliyunServiceRoleForDCDNLogDelivery
如果您不再使用全站加速的离线日志转存功能,且需要删除服务关联角色AliyunServiceRoleForDCDNLogDelivery,可参见以下步骤进行删除。
- 关闭离线日志转存任务。
- 登录全站加速控制台。
- 在左侧导航栏,选择。
- 在日志管理页面,单击离线日志转存页签。
- 单击关闭转存任务。
- 单击确定。
- 删除服务关联角色。