使用磁盘加密功能时,系统会自动创建一个无影云桌面服务关联角色(AliyunServiceRoleForGwsDiskEncryption)。本文为您介绍无影云桌面服务关联角色的应用场景、权限策略及其相关操作。

背景信息

服务关联角色是与特定的云服务关联的角色。多数情况下,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色。通过服务关联角色可以更好地配置云服务正常操作所必须的权限,避免误操作带来的风险。更多关于服务关联角色的信息,请参见服务关联角色

应用场景

加密云桌面磁盘的过程中,无影云桌面需要访问密钥管理服务KMS的资源时,可以通过服务关联角色(AliyunServiceRoleForGwsDiskEncryption)获取访问权限。

权限说明

当您首次使用无影云桌面的磁盘加密功能时,系统将自动创建一个服务关联角色,并为其授予权限策略。具体信息如下:

角色名称:AliyunServiceRoleForGwsDiskEncryption

权限策略:AliyunServiceRolePolicyForGwsDiskEncryption

权限说明:无影云桌面使用此角色来访问您的密钥管理服务KMS资源。

该权限策略包含的云服务访问权限如下:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases",
        "kms:ListResourceTags",
        "kms:DescribeKey",
        "kms:TagResource",
        "kms:UntagResource"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Effect": "Allow",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:eds:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "disk-encryption.gws.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色

如果您需要删除无影云桌面服务关联角色(AliyunServiceRoleForGwsDiskEncryption),请先通过控制台或者OpenAPI删除依赖该服务关联角色的无影云桌面资源,即删除包含加密磁盘的云桌面。删除包含加密磁盘的云桌面后,您可以删除服务关联角色(AliyunServiceRoleForGwsDiskEncryption)。具体操作,请参见删除RAM角色

常见问题

为什么使用RAM用户操作时,无法自动创建无影云桌面服务关联角色(AliyunServiceRoleForGwsDiskEncryption)?

RAM用户(子账号)需要拥有指定的权限(CreateServiceLinkedRole权限),才能自动创建或删除服务关联角色(AliyunServiceRoleForGwsDiskEncryption)。因此,在RAM用户无法自动创建服务关联角色(AliyunServiceRoleForGwsDiskEncryption)时,您需要为其添加以下权限策略。
说明 请将主账号ID替换为您实际的阿里云账号(主账号)ID。
{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "arms.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}