您在开通全站加速的离线日志转存功能时,系统会自动创建服务关联角色AliyunServiceRoleForDCDNLogDelivery并进行授权,用于访问OSS和DLA的资源。

AliyunServiceRoleForDCDNLogDelivery简介

AliyunServiceRoleForDCDNLogDelivery是全站加速的一种服务关联角色SLR(Service Linked Role)。当您开通全站加速的离线日志转存功能时,全站加速需要拥有该服务关联角色才能访问OSS和DLA的资源,实现离线日志自动化转存,确保日志存储地理位置合规。更多关于服务关联角色的信息,请参见服务关联角色

创建服务关联角色AliyunServiceRoleForDCDNLogDelivery

当您首次开通全站加速的离线日志转存功能时,系统会自动创建一个名称为AliyunServiceRoleForDCDNLogDelivery的服务关联角色,并为该服务关联角色授予AliyunServiceRolePolicyForDCDNLogDelivery权限策略。全站加速通过扮演该角色,允许日志转存服务访问您的OSS和DLA资源,您可以对OSS和DLA进行以下操作:
  • OSS:支持创建和查询OSS Bucket,且支持对OSS进行写入、查询和删除操作。
  • DLA:支持开启、查询和停止DLA任务。
说明 如果全站加速已经拥有服务关联角色AliyunServiceRoleForDCDNLogDelivery,则不会重复创建该服务关联角色。
权限策略内容如下:
{

  "Version": "1",
  "Statement": [
    {
      "Action": [
        "openanalytics:CreateInstance",
        "openanalytics:UpgradeInstance",
        "openanalytics:ReleaseInstance",
        "openanalytics:ExecuteSQL",
        "openanalytics:QueryExecute",
        "openanalytics:DescribeVirtualCluster",
        "openanalytics:ListSparkJob",
        "openanalytics:GetJobStatus",
        "openanalytics:GetJobDetail",
        "openanalytics:GetJobLog",
        "openanalytics:KillSparkJob",
        "openanalytics:SubmitSparkJob"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:PutBucket",
        "oss:GetBucketInfo"
      ],
      "Effect": "Allow",
      "Resource": "acs:oss:*:*:alicdn-log-delivery-*"
    },
    {
      "Action": [
        "oss:GetObject",
        "oss:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "acs:oss:*:*:alicdn-log-delivery-*/alicdn-offline-log/*"
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "openanalytics.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "logdelivery.dcdn.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色AliyunServiceRoleForDCDNLogDelivery

如果您不再使用全站加速的离线日志转存功能,且需要删除服务关联角色AliyunServiceRoleForDCDNLogDelivery,可参见以下步骤进行删除。

  1. 关闭离线日志转存任务。
    1. 登录全站加速控制台
    2. 在左侧导航栏,选择日志管理 > 离线日志
    3. 日志管理页面,单击离线日志转存页签。
    4. 单击关闭转存任务
    5. 单击确定
  2. 删除服务关联角色。
    1. 登录RAM控制台
    2. 在左侧导航栏,单击RAM角色管理
    3. RAM角色名称列下,找到需要删除的服务关联角色AliyunServiceRoleForDCDNLogDelivery,单击删除
      说明 如果服务关联角色删除失败,您需检查是否已经关闭了离线日志转存任务。