受信云服务可以通过扮演RAM角色来访问其他的云资源。可信实体为阿里云服务的RAM角色分为普通服务角色和服务关联角色两种。本文主要介绍服务关联角色。
什么是服务关联角色
在某些场景下,一个云服务为了完成自身的某个功能,需要获取其他云服务的访问权限。例如:配置审计(Config)服务要读取您的云资源信息,以获取资源列表和变更历史,就需要获取ECS、RDS等产品的访问权限。阿里云提供了服务关联角色 SLR(Service Linked Role)来满足此类场景的需求。
服务关联角色是与某个云服务关联的角色。多数情况下,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好地配置云服务正常操作所必须的权限,避免误操作带来的风险。
服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。
不支持服务关联角色的云服务,请使用普通服务角色获取其他云服务的访问权限。
创建服务关联角色
某些云服务将在您执行某些特定操作(例如:创建一个云资源或开启一个功能)时自动创建服务关联角色,您可以在RAM控制台的角色管理页面、API或CLI调用ListRoles的返回结果中查看自动创建的服务关联角色。
此外,您也可以主动创建服务关联角色,详情请参见创建服务关联角色。
- 服务关联角色会占用您的RAM角色配额。当RAM角色数量超限时,您仍然可以成功创建服务关联角色,但无法创建其他类型的角色。
- 关于云服务自动创建服务关联角色的详情,请参见对应云服务的文档说明。
删除服务关联角色
某些云服务将在您执行某些特定操作(例如:删除所有资源或关闭一个功能)时自动删除已创建的服务关联角色,但您也可以从控制台主动删除。关于主动删除服务关联角色,详情请参见删除RAM角色。
当您尝试删除一个服务关联角色时,RAM会先检查这个角色是否仍被云资源使用:
- 如果为否,您可以直接删除该服务关联角色。
- 如果为是,您暂不能删除该服务关联角色,但可以查看哪些云资源在使用该角色。您需要找到对应的云资源并手动清理这些云资源,然后再删除该服务关联角色。
创建和删除服务关联角色所需的权限
您需要拥有指定的权限,才能创建或删除服务关联角色。自动创建服务关联角色的场景也需要具备对应权限。
权限策略示例:允许为资源管理(Resource Management)创建和删除服务关联角色。
{
"Action": [
"ram:CreateServiceLinkedRole",
"ram:DeleteServiceLinkedRole"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}
使用服务关联角色
服务关联角色仅限关联的对应云服务使用,其他身份(例如:普通RAM用户、其他RAM角色)都无法扮演该角色。
您可以在已创建的服务关联角色的信任策略管理页签中,通过Service
字段查看可以使用该角色的云服务。
支持服务关联角色的云服务
云服务 | 服务名称 | 服务关联角色 | 相关文档 |
---|---|---|---|
资源管理 | resourcemanager.aliyuncs.com | AliyunServiceRoleForResourceDirectory | 资源目录中的RAM角色 |
配置审计 | config.aliyuncs.com | AliyunServiceRoleForConfig | 配置审计服务关联角色 |
remediation.config.aliyuncs.com | AliyunServiceRoleForConfigRemediation | ||
云数据库PolarDB | polardb.aliyuncs.com | AliyunServiceRoleForPolarDB | PolarDB服务关联角色 |
混合云备份服务 | dr.hbr.aliyuncs.com | AliyunServiceRoleForHbrDr | HBR ECS容灾的服务关联角色 |
ecsbackup.hbr.aliyuncs.com | AliyunServiceRoleForHbrEcsBackup | HBR服务关联角色 | |
ossbackup.hbr.aliyuncs.com | AliyunServiceRoleForHbrOssBackup | ||
nasbackup.hbr.aliyuncs.com | AliyunServiceRoleForHbrNasBackup | ||
csgbackup.hbr.aliyuncs.com | AliyunServiceRoleForHbrCsgBackup | ||
vaultencryption.hbr.aliyuncs.com | AliyunServiceRoleForHbrVaultEncryption | ||
otsbackup.hbr.aliyuncs.com | AliyunServiceRoleForHbrOtsBackup | ||
运维编排 | bandwidthscheduler.oos.aliyuncs.com | AliyunServiceRoleForOOSBandwidthScheduler | OOS服务关联角色 |
instancescheduler.oos.aliyuncs.com | AliyunServiceRoleForOOSInstanceScheduler | ||
executiondelivery.oos.aliyuncs.com | AliyunServiceRoleForOOSExecutionDelivery | ||
性能测试 | pts.aliyuncs.com | AliyunServiceRoleForPts | 借助RAM用户实现分权 |
混合云容灾服务 | hdr.aliyuncs.com | AliyunServiceRoleForHdr | HDR服务关联角色 |
弹性伸缩 | ess.aliyuncs.com | AliyunServiceRoleForAutoScaling | 授予弹性伸缩服务权限 |
时序数据库TSDB | hitsdb.aliyuncs.com | AliyunServiceRoleForTSDB | 时序数据库服务关联角色 |
云监控 | cloudmonitor.aliyuncs.com | AliyunServiceRoleForCloudMonitor | 云监控服务关联角色 |
区块链服务BaaS | baas.aliyuncs.com | AliyunServiceRoleForBaaS | BaaS服务关联角色 |
HTTPDNS | httpdns.aliyuncs.com | AliyunServiceRoleForHttpdns | HTTPDNS服务关联角色 |
移动推送 | cloudpush.aliyuncs.com | AliyunServiceRoleForCloudPush | 移动推送服务关联角色介绍 |
全局流量管理 | gtm.aliyuncs.com | AliyunServiceRoleForGTM | 全局流量管理服务关联角色 |
云解析DNS | alidns.aliyuncs.com | AliyunServiceRoleForDNS | 云解析DNS服务关联角色 |
数据安全中心 | sddp.aliyuncs.com | AliyunServiceRoleForSDDP | 授权DSC访问云资源 |
CDN | cdn-ddos.cdn.aliyuncs.com | AliyunServiceRoleForCDNAccessingDDoS | 配置CDN联动DDoS高防 |
cdn-waf.cdn.aliyuncs.com | AliyunServiceRoleForCDNAccessingWAF | 配置CDN WAF | |
logdelivery.cdn.aliyuncs.com | AliyunServiceRoleForCDNLogDelivery | 日志转存服务关联角色(新版) | |
应用实时监控服务ARMS | arms.aliyuncs.com | AliyunServiceRoleForARMS | ARMS服务关联角色 |
security.arms.aliyuncs.com | AliyunServiceRoleForARMSSecurity | 应用安全服务关联角色 | |
事件总线EventBridge | sendevent-fc.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSendToFC | 事件总线服务关联角色 |
sendevent-mns.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSendToMNS | ||
sendevent-sms.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSendToSMS | ||
sendevent-directmail.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSendToDirectMail | ||
source-rocketmq.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSourceRocketMQ | ||
connect-vpc.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeConnectVPC | ||
source-actiontrail.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSourceActionTrail | ||
source-rabbitmq.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSourceRabbitMQ | ||
sendevent-rabbitmq.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSendToRabbitMQ | ||
sendevent-rocketmq.eventbridge.aliyuncs.com | AliyunServiceRoleForEventBridgeSendToRocketMQ | ||
大数据开发治理平台DataWorks | di.dataworks.aliyuncs.com | AliyunServiceRoleForDataWorksDI | DataWorks数据集成服务关联角色 |
大数据开发治理平台DataWorks | datamap.dataworks.aliyuncs.com | AliyunServiceRoleForDataworksDataMap | 服务关联角色 |
大数据开发治理平台DataWorks | openplatform.dataworks.aliyuncs.com | AliyunServiceRoleForDataWorksOpenPlatform | 附录:DataWorks服务关联角色 |
云服务总线CSB | csb.aliyuncs.com | AliyunServiceRoleForCSB | 云服务总线CSB服务关联角色 |
弹性高性能计算E-HPC | ehpc.aliyuncs.com | AliyunServiceRoleForEHPC | 弹性高性能计算服务关联角色 |
消息队列RabbitMQ版 | monitoring.amqp.aliyuncs.com | AliyunServiceRoleForAmqpMonitoring | 消息队列RabbitMQ版服务关联角色 |
logdelivery.amqp.aliyuncs.com | AliyunServiceRoleForAmqpLogDelivery | ||
服务器迁移中心 | smc.aliyuncs.com | AliyunServiceRoleForSMC | SMC服务关联角色 |
消息队列Kafka版 | connector.alikafka.aliyuncs.com | AliyunServiceRoleForAlikafkaConnector | 消息队列Kafka版服务关联角色 |
instanceencryption.alikafka.aliyuncs.com | AliyunServiceRoleForAlikafkaInstanceEncryption | ||
alikafka.aliyuncs.com | AliyunServiceRoleForAlikafka | ||
etl.alikafka.aliyuncs.com | AliyunServiceRoleForAlikafkaETL | ||
链路追踪 | xtrace.aliyuncs.com | AliyunServiceRoleForXtrace | 链路追踪服务关联角色 |
NAT网关 | nat.aliyuncs.com | AliyunServiceRoleForNatgw | NAT网关服务关联角色 |
云解析PrivateZone | pvtz.aliyuncs.com | AliyunServiceRoleForPvtz | PrivateZone服务关联角色 |
智能对话机器人 | resourcepacket.chatbot.aliyuncs.com | AliyunServiceRoleForBeeBotResourcePacket | 智能对话机器人服务关联角色 |
sms.chatbot.aliyuncs.com | AliyunServiceRoleForBeeBotSMS | ||
操作审计 | actiontrail.aliyuncs.com | AliyunServiceRoleForActionTrail | 操作审计服务关联角色 |
图数据库GDB | gdb.aliyuncs.com | AliyunServiceRoleForGDB | 数据导入-OSS授权 |
云存储网关 | hcs-sgw.aliyuncs.com | AliyunServiceRoleForHCSSGW | 云存储网关服务关联角色 |
logmonitor.hcs-sgw.aliyuncs.com | AliyunServiceRoleForHCSSGWLogMonitor | ||
云原生数据湖分析DLA | openanalytics.aliyuncs.com | AliyunServiceRoleForOpenAnalytics | DLA服务关联角色 |
应用高可用服务AHAS | ahas.aliyuncs.com | AliyunServiceRoleForAHAS | AHAS服务关联角色 |
msha.aliyuncs.com | AliyunServiceRoleForMSHA | MSHA服务关联角色 | |
云桌面 | gws.aliyuncs.com | AliyunServiceRoleForGws | GWS服务关联角色 |
API网关 | apigateway.aliyuncs.com | AliyunServiceRoleForApiGateway | API网关服务关联角色 |
monitor.apigateway.aliyuncs.com | AliyunServiceRoleForApiGatewayMonitoring | API网关-监控服务关联角色 | |
微服务引擎MSE | mse.aliyuncs.com | AliyunServiceRoleForMSE | MSE服务关联角色 |
阿里云Elasticsearch | ops.elasticsearch.aliyuncs.com | AliyunServiceRoleForElasticsearchOps | Elasticsearch服务关联角色 |
collector.elasticsearch.aliyuncs.com | AliyunServiceRoleForElasticsearchCollector | ||
堡垒机 | bastionhost.aliyuncs.com | AliyunServiceRoleForBastionhost | 堡垒机服务关联角色介绍 |
特权访问服务 | pam.aliyuncs.com | AliyunServiceRoleForBastionhostPam | 授权PAM访问云资源 |
数据库文件存储 | dbfs.aliyuncs.com | AliyunServiceRoleForDbfs | 数据库文件存储服务关联角色 |
全球加速 | vpcendpoint.ga.aliyuncs.com | AliyunServiceRoleForGaVpcEndpoint | AliyunServiceRoleForGaVpcEndpoint |
ddos.ga.aliyuncs.com | AliyunServiceRoleForGaAntiDdos | AliyunServiceRoleForGaAntiDdos | |
消息队列RocketMQ版 | ons.aliyuncs.com | AliyunServiceRoleForOns | 消息队列RocketMQ版服务关联角色 |
云原生数据仓库AnalyticDB PostgreSQL | adbpg.aliyuncs.com | AliyunServiceRoleForADBPG | 云原生数据仓库AnalyticDB PostgreSQL服务关联角色 |
开放搜索 | opensearch.aliyuncs.com | AliyunServiceRoleForOpenSearch | 开放搜索服务关联角色 |
小程序云 | mpserverless.aliyuncs.com | AliyunServiceRoleForMPServerless | 小程序Serverless服务关联角色 |
DataV数据可视化 | datasource-es.datav.aliyuncs.com | AliyunServiceRoleForDataVDataSourceES | 添加阿里云Elastic Search数据源 |
DataHub | datahub.aliyuncs.com | AliyunServiceRoleForDataHub | DataHub服务关联角色 |
dwconnection.datahub.aliyuncs.com | AliyunServiceRoleForDataHubDWConnection | DataHub-Dataworks Connection服务关联角色 | |
密钥管理服务 | secretsmanager-rds.kms.aliyuncs.com | AliyunServiceRoleForKMSSecretsManagerForRDS | 动态RDS凭据服务关联角色 |
keystore.kms.aliyuncs.com | AliyunServiceRoleForKMSKeyStore | 服务关联角色 | |
数据库审计 | dbaudit.aliyuncs.com | AliyunServiceRoleForDbaudit | 授权数据库审计访问云资源 |
云数据库MongoDB | mongodb.aliyuncs.com | AliyunServiceRoleForMongoDB | MongoDB服务关联角色 |
云数据库RDS | pgsql-onecs.rds.aliyuncs.com | AliyunServiceRoleForRdsPgsqlOnEcs | 云数据库RDS服务关联角色 |
云数据库RDS | gad.rds.aliyuncs.com | AliyunServiceRoleForRDSGAD | 授权全球多活数据库集群访问云资源 |
私网连接PrivateLink | privatelink.aliyuncs.com | AliyunServiceRoleForPrivatelink | 私网连接服务关联角色 |
云原生数据仓库AnalyticDB MySQL版 | ads.aliyuncs.com | AliyunServiceRoleForAnalyticDBForMySQL | AnalyticDB MySQL服务关联角色 |
云数据库ClickHouse | clickhouse.aliyuncs.com | AliyunServiceRoleForClickHouse | ClickHouse服务关联角色 |
音视频通信 | rtc.aliyuncs.com | AliyunServiceRoleForRTC | RTC服务关联角色 |
Databricks数据洞察 | ddi.aliyuncs.com | AliyunServiceRoleForDDI | 数据洞察服务关联角色 |
应用型负载均衡 | alb.aliyuncs.com | AliyunServiceRoleForAlb | ALB服务关联角色 |
logdelivery.alb.aliyuncs.com | AliyunServiceRoleForAlbLogDelivery | ||
全站加速 | logdelivery.dcdn.aliyuncs.com | AliyunServiceRoleForDCDNLogDelivery | 日志转存服务关联角色 |
负载均衡 | logdelivery.slb.aliyuncs.com | AliyunServiceRoleForSlbLogDelivery | 负载均衡服务关联角色 |
云企业网 | cen.aliyuncs.com | AliyunServiceRoleForCEN | AliyunServiceRoleForCEN |
弹性容器实例 | eci.aliyuncs.com | AliyunServiceRoleForECI | 弹性容器实例服务关联角色 |
vnode.eci.aliyuncs.com | AliyunServiceRoleForECIVnode | 虚拟节点服务关联角色 | |
数据库备份 | dbs.aliyuncs.com | AliyunServiceRoleForDBS | 如何开通数据库备份DBS服务 |
云治理中心 | governance.aliyuncs.com | AliyunServiceRoleForGovernance | 云治理中心服务关联角色 |
云SSO | cloudsso.aliyuncs.com | AliyunServiceRoleForCloudSSO | 云SSO服务关联角色 |
计算巢 | supplier.computenest.aliyuncs.com | AliyunServiceRoleForComputeNestSupplier | 计算巢服务关联角色 |
user.computenest.aliyuncs.com | AliyunServiceRoleForComputeNestUser | ||
网络智能服务 | nis.aliyuncs.com | AliyunServiceRoleForNis | 服务关联角色 |
资源共享 | resourcesharing.aliyuncs.com | AliyunServiceRoleForResourceSharing | 资源共享服务关联角色 |
Serverless应用引擎 | sae.aliyuncs.com | AliyunServiceRoleForSAE | Serverless应用引擎服务关联角色 |
云数据库Redis版 | r-kvstore.aliyuncs.com | AliyunServiceRoleForKvstore | Redis服务关联角色 |
数据库自治服务 | hdm.aliyuncs.com | AliyunServiceRoleForDAS | DAS服务关联角色 |
云服务器ECS | archiving.ecs.aliyuncs.com | AliyunServiceRoleForECSArchiving | 运维任务执行记录投递服务关联角色 |
VPN网关 | vpn.aliyuncs.com | AliyunServiceRoleForVpn | VPN网关服务关联角色 |
物联网平台 | device-file-upload.iot.aliyuncs.com | AliyunServiceRoleForIoTDeviceFileUpload | 设备文件上传服务关联角色 |
log-export.iot.aliyuncs.com | AliyunServiceRoleForIoTLogExport | 日志导出服务关联角色 | |
ruleengine-lindorm.iot.aliyuncs.com | AliyunServiceRoleForIoTRuleengineLindorm | 数据转发到时序数据库(Lindorm)服务关联角色 | |
分布式云容器平台 | adcp.aliyuncs.com | AliyunServiceRoleForAdcp | 管理ACK One服务关联角色 |
BizWorks | bizworks.aliyuncs.com | AliyunServiceRoleForBizWorks | BizWorks服务关联角色 |
日志服务 | alert.log.aliyuncs.com | AliyunServiceRoleForSLSAlert | 管理服务关联角色AliyunServiceRoleForSLSAlert |
audit.log.aliyuncs.com | AliyunServiceRoleForSLSAudit | 管理服务关联角色AliyunServiceRoleForSLSAudit |