全部产品

服务关联角色

更新时间:2020-09-07 14:12:45

本文为您介绍什么是云存储网关服务关联角色(AliyunServiceRoleForHCSSGW和AliyunServiceRoleForHCSSGWLogMonitor)以及如何删除服务关联角色。

背景信息

网关服务关联角色(AliyunServiceRoleForHCSSGW和AliyunServiceRoleForHCSSGWLogMonitor)是指在某些情况下,为了完成网关自身的某个功能,需要获取其他云服务的访问权限,从而提供的RAM角色。更多关于服务关联角色的信息请参见服务关联角色

网关服务可能需要创建弹性网卡以及消息主题、队列、订阅等对象,使用密钥管理进行数据加密,对OSS数据进行上传下载管理访问等,可通过自动创建的网关服务关联角色(AliyunServiceRoleForHCSSGW)获取访问ECS、VPC、KMS、OSS等资源的权限。

对于日志监控功能,网关服务可能需要获取和推送网关日志,可通过自动创建的网关服务关联角色(AliyunServiceRoleForHCSSGWLogMonitor)获取访问SLS资源的权限。

AliyunServiceRoleForHCSSGW权限说明

说明

RAM用户需具有AliyunHCSSGWFullAccess权限才能创建AliyunServiceRoleForHCSSGW。

AliyunServiceRoleForHCSSGW具备以下云服务的访问权限:

  • ECS弹性网卡及安全组相关权限

网关服务需使用弹性网卡(以及相关安全组)来提供挂载协议。

{
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateSecurityGroup",
        "ecs:DescribeSecurityGroups",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:JoinSecurityGroup"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • 专有网络VPC的访问权限

网关服务需使用以下权限来访问您的VPC相关资源。

{
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • 对象存储OSS的访问权限

网关服务需要使用以下权限对您的数据进行OSS上传,下载及管理。

{
      "Action": [
        "oss:ListBuckets",
        "oss:ListObjects",
        "oss:GetObject",
        "oss:PutObject",
        "oss:DeleteObject",
        "oss:HeadObject",
        "oss:CopyObject",
        "oss:InitiateMultipartUpload",
        "oss:UploadPart",
        "oss:UploadPartCopy",
        "oss:CompleteMultipartUpload",
        "oss:AbortMultipartUpload",
        "oss:ListMultipartUploads",
        "oss:ListParts",
        "oss:GetBucketStat",
        "oss:GetBucketWebsite",
        "oss:GetBucketInfo",
        "oss:GetBucketEncryption",
        "oss:PutBucketEncryption",
        "oss:DeleteBucketEncryption",
        "oss:RestoreObject",
        "oss:PutObjectTagging",
        "oss:GetObjectTagging",
        "oss:DeleteObjectTagging"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • 密钥管理KMS的权限

网关服务需要使用以下权限对您的数据进行服务端加密(OSS端加密)或客户端加密(网关侧加密)。

{
      "Action": [
        "kms:DescribeKey",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • 消息MNS的权限

网关服务需要使用以下权限来完成网关极速同步功能的相关配置。

{
      "Action": [
        "mns:SendMessage",
        "mns:ReceiveMessage",
        "mns:PublishMessage",
        "mns:DeleteMessage",
        "mns:GetQueueAttributes",
        "mns:GetTopicAttributes",
        "mns:CreateTopic",
        "mns:DeleteTopic",
        "mns:CreateQueue",
        "mns:DeleteQueue",
        "mns:PutEventNotifications",
        "mns:DeleteEventNotifications",
        "mns:UpdateEventNotifications",
        "mns:GetEvent",
        "mns:Subscribe",
        "mns:Unsubscribe",
        "mns:ListTopic",
        "mns:ListQueue",
        "mns:ListSubscriptionByTopic"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • BSS(交易和账单管理)的权限

网关服务需要使用以下权限来获取展示网关相关价格信息。

{
      "Action": [
        "bss:DescribePrice"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

AliyunServiceRoleForHCSSGWLogMonitor权限说明

说明

RAM用户需具有AliyunHCSSGWFullAccess权限才能创建AliyunServiceRoleForHCSSGWLogMonitor。

AliyunServiceRoleForHCSSGWLogMonitor具备以下云服务的访问权限:

  • 日志SLS的权限

网关服务需要使用以下权限来完成网关日志监控功能的相关配置。

{
      "Action": [
        "log:PostLogStoreLogs",
        "log:GetLogStore"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

删除服务关联角色

如果您需要删除网关服务关联角色(AliyunServiceRoleForHCSSGW或AliyunServiceRoleForHCSSGWLogMonitor),您需要先删除网关服务下的所有网关实例。

删除服务关联角色具体操作请参见删除服务关联角色