在使用云数据库Redis的日志管理功能时,您需要将名称为AliyunServiceRoleForKvstore的关联角色授权给云数据库Redis使用。经过授权后,云数据库Redis可访问当前云账号下日志服务产品的相关资源。
背景信息
服务关联角色是与某个云服务关联的角色,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好的配置云服务正常操作所必须的权限,避免误操作带来的风险。更多介绍,请参见服务关联角色。
应用场景
在本场景中,由于云数据库Redis的日志管理功能需要使用日志服务的相关资源,在使用云数据库Redis的日志管理功能时您需要将名称为AliyunServiceRoleForKvstore的关联角色授权给云数据库Redis使用。
AliyunServiceRoleForKvstore介绍
您可以登录RAM控制台,单击左侧导航栏的,然后在文本框中输入AliyunServiceRoleForKvstore来搜索并查看该角色。
- 角色名称:AliyunServiceRoleForKvstore。
- 角色权限策略名称:AliyunServiceRolePolicyForKvstore。
- 权限说明:允许云数据库Redis访问日志服务中的相关资源、允许删除服务关联角色,详细策略内容如下所示:
说明 关于权限策略的语法说明,请参见权限策略语法和结构。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Resource": "acs:log:*:*:project/nosql-*", "Action": [ "log:GetLogstoreLogs", "log:ListLogStores", "log:GetLogStore", "log:GetIndex", "log:GetLogstoreHistogram", "log:GetConfig", "log:ListConfig", "log:GetDashboard", "log:ListDashboard" ] }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "r-kvstore.aliyuncs.com" } } } ] }
RAM用户创建服务关联角色所需权限
创建服务关联角色的权限通常包含在其对应云服务的管理员权限策略,例如:AliyunKvstoreFullAccess(管理云数据库Redis的权限),因此只要具有该云服务的管理员权限,就可以为该云服务创建服务关联角色。
如果您的RAM用户权限不足,您可以添加下述权限后再执行关联角色的授权操作,添加权限的方法参见创建自定义权限策略和为RAM用户授权;您也可以直接使用主账号执行关联角色的授权操作。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "r-kvstore.aliyuncs.com"
}
}
}删除服务关联角色
如果您需要删除服务关联角色:AliyunServiceRoleForKvstore,需要先释放依赖这个服务关联角色的Redis实例,相关操作方法请参见释放或退订实例和删除服务关联角色。