本文介绍PolarDB-X 2.0服务关联角色AliyunServiceRoleForPolarDBX及如何删除该角色。

背景信息

PolarDB-X 2.0服务关联角色AliyunServiceRoleForPolarDBXPolarDB-X分布式数据库服务在某些情况下,为了完成自身的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息请参见服务关联角色

应用场景

PolarDB-X分布式数据库服务的SQL审计与分析功能需要访问日志服务资源,当您开启SQL审计与分析时,系统会自动创建PolarDB-X 2.0服务关联角色AliyunServiceRoleForPolarDBX以获取日志服务SLS的访问权限。

权限说明

AliyunServiceRoleForPolarDBX具备如下日志服务SLS的访问权限:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:GetProject",
        "log:ListLogStores",
        "log:GetIndex",
        "log:CreateProject",
        "log:CreateLogStore",
        "log:CreateIndex",
        "log:CreateDashboard",
        "log:CreateSavedSearch"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:PostLogStoreLogs",
        "log:UpdateIndex",
        "log:UpdateSavedSearch",
        "log:UpdateDashboard"
      ],
      "Resource": "acs:log:*:*:project/*/logstore/polardbx-sqlaudit-log",
      "Effect": "Allow"
    }
  ]
}

删除服务关联角色

本节介绍如何删除PolarDB-X 2.0服务关联角色AliyunServiceRoleForPolarDBX(例如出于安全考虑,需要删除该角色)。

注意
  • 您需要先关闭当前数据库SQL审计日志状态开关,才能删除AliyunServiceRoleForPolarDBX角色,如何关闭当前数据库SQL审计日志状态开关,请参见SQL审计与分析·
  • AliyunServiceRoleForPolarDBX角色删除后,PolarDB-X控制台将停止获取及写入相关SQL审计与分析信息。
  1. 登录RAM控制台
  2. 在左侧导航栏,单击RAM角色管理
  3. RAM角色管理页中间的搜索框内,输入AliyunServiceRoleForPolarDBX
  4. 在目标角色名称右侧的操作栏中,单击删除
    搜索
  5. 在弹出的对话框中单击确定
    确定
    说明 您需要先关闭当前数据库SQL审计日志状态开关,才能删除AliyunServiceRoleForPolarDBX角色,如何关闭当前数据库SQL审计日志状态开关,请参见SQL审计与分析

常见问题

Q:为什么我的RAM用户开启PolarDB-X 2.0 SQL审计与分析功能后,无法在RAM控制台上搜索到AliyunServiceRoleForPolarDBX角色?

A:开启PolarDB-X 2.0SQL审计与分析功能后,仅拥有指定权限的RAM用户才能在RAM控制台上搜索到自动创建的AliyunServiceRoleForPolarDBX角色。若无法搜索到该角色,您需要为该RAM用户添加如下权限策略:

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:${account_id}:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "polardbx.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}
说明 请将${account_id}替换成您实际的阿里云账号ID。关于如何添加权限策略,请参见创建自定义策略