授权访问云资源

首次使用堡垒机服务前,您需要先完成允许堡垒机访问云资源的授权。本文介绍如何进行云资源授权。

前提条件

  • 您已购买堡垒机实例。更多信息,请参见购买实例

  • 您使用的是阿里云账号或拥有创建和删除服务关联角色权限的RAM用户。

背景信息

首次使用堡垒机服务时,阿里云会自动创建堡垒机服务关联角色AliyunServiceRoleForBastionhost,授权堡垒机访问其他关联的云服务。服务关联角色无需您手动创建或做任何修改。相关内容,请参见服务关联角色

操作步骤

  1. 登录堡垒机控制台

  2. 欢迎使用堡垒机对话框中,单击确认创建

    您购买堡垒机实例后,首次登录堡垒机控制台时,堡垒机页面会提示您创建服务关联角色的流程。

    当您单击确认创建后,阿里云将自动为您创建堡垒机服务关联角色AliyunServiceRoleForBastionhost。您可以在RAM控制台查看阿里云为堡垒机自动创建的服务关联角色。只有创建服务关联角色AliyunServiceRoleForBastionhost后,您的堡垒机实例才能访问云服务器ECS、专有网络VPC等云服务的资源,对服务器进行运维审计等操作。

堡垒机服务关联角色介绍

通过堡垒机进行运维时,堡垒机需要访问云服务器ECS和专有网络VPC等云服务的资源,您可通过系统自动创建的堡垒机服务关联角色AliyunServiceRoleForBastionhost获取访问权限。

以下是堡垒机服务关联角色的介绍:

  • 角色名称:AliyunServiceRoleForBastionhost

  • 权限策略名称:AliyunServiceRolePolicyForBastionhost

    说明

    该权限策略为系统默认提供的策略,其策略名称和策略内容都不支持修改。

  • 权限策略示例:

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "rds:DescribeDBInstanceNetInfo",
                    "rds:DescribeDBInstances",
                    "rds:DescribeDBInstanceAttribute",
                    "ecs:DescribeInstances",
                    "ecs:DescribeImages",
                    "ecs:DescribeZones",
                    "ecs:DescribeRegions",
                    "ecs:DescribeTags",
                    "ecs:DescribeSecurityGroups",
                    "ecs:DescribeSecurityGroupAttribute",
                    "ecs:AuthorizeSecurityGroup",
                    "ecs:DescribeSecurityGroups",
                    "ecs:DescribeSecurityGroupReferences",
                    "ecs:CreateSecurityGroup",
                    "ecs:RevokeSecurityGroup",
                    "ecs:DeleteSecurityGroup",
                    "ecs:ModifySecurityGroupAttribute",
                    "ecs:ModifySecurityGroupPolicy",
                    "ecs:ModifySecurityGroupRule",
                    "ecs:CreateNetworkInterface",
                    "ecs:DeleteNetworkInterface",
                    "ecs:DescribeNetworkInterfaces",
                    "ecs:CreateNetworkInterfacePermission",
                    "ecs:DescribeNetworkInterfacePermissions",
                    "ecs:DeleteNetworkInterfacePermission",
                    "ecs:DetachNetworkInterface",
                    "ecs:AttachNetworkInterface",
                    "ecs:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "vpc:DescribeVpcAttribute",
                    "vpc:DescribeVSwitchAttributes"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ram:DeleteServiceLinkedRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "ram:ServiceName": "bastionhost.aliyuncs.com"
                    }
                }
            }
        ]
    }

删除服务关联角色

如果不再需要使用堡垒机服务,您可以删除堡垒机服务关联角色AliyunServiceRoleForBastionhost。在删除服务关联角色前您需要先释放已有的堡垒机实例。在释放已有的堡垒机实例后,您可以参考以下步骤在RAM控制台删除堡垒机服务关联角色。

  1. 登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,使用搜索功能定位到堡垒机服务关联角色AliyunServiceRoleForBastionhost,在操作列,单击删除角色

  4. 删除角色对话框,输入RAM角色名称,然后单击删除角色

相关问题

为什么我的RAM用户无法自动创建堡垒机服务关联角色AliyunServiceRoleForBastionhost?

您需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForBastionhost。因此,在RAM用户无法自动创建AliyunServiceRoleForBastionhost时,您需为RAM用户添加以下权限策略。详细操作步骤指导,请参见为RAM角色授权

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "bastionhost.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}