在使用云数据库Redis的日志管理功能时,您需要将名称为AliyunServiceRoleForKvstore的关联角色授权给云数据库Redis使用。经过授权后,云数据库Redis可访问当前云账号下日志服务产品的相关资源。

背景信息

服务关联角色是与某个云服务关联的角色,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好的配置云服务正常操作所必须的权限,避免误操作带来的风险。更多介绍,请参见服务关联角色

说明 服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。

应用场景

在本场景中,由于云数据库Redis的日志管理功能需要使用日志服务的相关资源,在使用云数据库Redis的日志管理功能时您需要将名称为AliyunServiceRoleForKvstore的关联角色授权给云数据库Redis使用。

开通关联角色授权

AliyunServiceRoleForKvstore关联角色介绍

服务关联角色
说明 您可以登录RAM控制台,单击左侧导航栏的RAM角色管理,然后在文本框中输入AliyunServiceRoleForKvstore来搜索并查看该角色。
  • 角色名称:AliyunServiceRoleForKvstore。
  • 角色权限策略名称:AliyunServiceRolePolicyForKvstore。
  • 权限说明:允许云数据库Redis访问日志服务中的相关资源、允许删除服务关联角色,详细策略内容如下所示:
    说明 关于权限策略的语法说明,请参见权限策略语法和结构
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Resource": "acs:log:*:*:project/nosql-*",
                "Action": [
                    "log:GetLogstoreLogs",
                    "log:ListLogStores",
                    "log:GetLogStore",
                    "log:GetIndex",
                    "log:GetLogstoreHistogram",
                    "log:GetConfig",
                    "log:ListConfig",
                    "log:GetDashboard",
                    "log:ListDashboard"
                ]
            },
            {
                "Action": "ram:DeleteServiceLinkedRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": "r-kvstore.aliyuncs.com"
                    }
                }
            }
        ]
    }

子账号创建服务关联角色所需权限

创建服务关联角色的权限通常包含在其对应云服务的管理员权限策略,例如:AliyunKvstoreFullAccess(管理云数据库Redis的权限),因此只要具有该云服务的管理员权限,就可以为该云服务创建服务关联角色。

如果您的子账号权限不足,您可以添加下述权限后再执行关联角色的授权操作,添加权限的方法参见创建自定义策略为RAM用户授权;您也可以直接使用主账号执行关联角色的授权操作。

{
    "Action": "ram:CreateServiceLinkedRole",
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "r-kvstore.aliyuncs.com"
        }
     }
}

删除服务关联角色

如果您需要删除服务关联角色:AliyunServiceRoleForKvstore,需要先释放依赖这个服务关联角色的Redis实例,相关操作方法请参见释放实例删除服务关联角色