本文为您介绍在资源目录中为管理账号和成员自动创建的RAM角色。

总览

资源目录管理账号和成员内自动创建的RAM角色如下表所示。

账号类型 RAM角色名称 RAM角色类型
管理账号 AliyunServiceRoleForResourceDirectory 服务关联角色
成员 AliyunServiceRoleForResourceDirectory 服务关联角色
ResourceDirectoryAccountAccessRole 可信实体为阿里云账号的RAM角色
AliyunServiceRoleFor*** 服务关联角色

AliyunServiceRoleForResourceDirectory

应用场景

服务关联角色(AliyunServiceRoleForResourceDirectory)用于为资源目录可信服务提供访问通道。资源目录服务通过该服务关联角色为可信服务创建服务关联角色,使其可以获取其他云服务的访问权限。关于服务关联角色的更多信息,请参见服务关联角色

权限策略

名称:AliyunServiceRolePolicyForResourceDirectory

内容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "resourcemanager.aliyuncs.com"
                }
            }
        }
    ]
}

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resourcemanager.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

创建角色

系统会在以下场景中自动创建服务关联角色(AliyunServiceRoleForResourceDirectory):

  • 资源目录开通成功后,在管理账号内创建该服务关联角色。
  • 成员创建成功后,在成员内创建该服务关联角色。
  • 被邀请账号成功加入资源目录后,在被邀请账号内创建该服务关联角色。

删除角色

系统会在以下场景中尝试自动删除服务关联角色(AliyunServiceRoleForResourceDirectory):

  • 关闭资源目录时,系统将自动删除管理账号内的该服务关联角色。
  • 从资源目录中移除成员时,系统将自动删除成员内的该服务关联角色。

当服务关联角色(AliyunServiceRoleForResourceDirectory)没有被任何云资源使用时,您也可以手动删除该服务关联角色。具体操作,请参见删除RAM角色

ResourceDirectoryAccountAccessRole

应用场景

RAM角色(ResourceDirectoryAccountAccessRole)用于资源目录管理员登入成员进行相关管理操作,该角色中的可信实体为资源目录管理账号。

权限策略

名称:AdministratorAccess

内容:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::151266687691****:root"  //151266687691****为管理账号ID。
        ]
      }
    }
  ],
  "Version": "1"
}

创建角色

系统会在以下场景中自动在成员内创建RAM角色(ResourceDirectoryAccountAccessRole):

  • 成员创建成功后,在成员内创建该RAM角色。
  • 被邀请账号成功加入资源目录后,在被邀请账号内创建该RAM角色。

删除角色

从资源目录中移除成员时,系统将自动删除成员内的RAM角色(ResourceDirectoryAccountAccessRole)。

当RAM角色(ResourceDirectoryAccountAccessRole)下没有任何授权时,您也可以手动删除该服务关联角色。具体操作,请参见删除RAM角色

AliyunServiceRoleFor***

应用场景

服务关联角色(AliyunServiceRoleFor***)用于可信服务执行预定任务,解决可信服务与资源目录之间的跨服务访问问题。关于服务关联角色的更多信息,请参见服务关联角色

说明 AliyunServiceRoleFor***中的***表示可信服务,例如:配置审计的服务关联角色AliyunServiceRoleForConfig。

权限策略

权限策略由可信服务制定,一般包含以下两类权限:

  • 可信服务执行预定任务所需的云服务操作权限。
  • 可信服务删除该服务关联角色的权限。

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "***.aliyuncs.com"  //***表示可信服务,例如:config.aliyuncs.com。
        ]
      }
    }
  ],
  "Version": "1"
}

创建角色

启用某个可信服务时,资源目录通过服务关联角色(AliyunServiceRoleForResourceDirectory)在成员中创建服务关联角色(AliyunServiceRoleFor***)。

删除角色

从资源目录移除成员时,资源目录会广播该消息给可信服务,可信服务会自主决定是否联动删除服务关联角色(AliyunServiceRoleFor***)。一般情况下,可信服务会自动删除该服务关联角色。但某种特定情况下可能不会自动删除,此时,您可以登入成员,尝试手动删除该服务关联角色。具体操作,请参见删除RAM角色