本文为您介绍配置审计自动修正服务关联角色(AliyunServiceRoleForConfigRemediation)的应用场景、权限策略、创建及删除操作。

应用场景

当您使用配置审计的自动修正功能修正不合规资源时,需要获取不合规资源的访问权限。此时,配置审计提供了服务关联角色(AliyunServiceRoleForConfigRemediation),解决跨服务授权问题。
说明 更多关于服务关联角色的信息,请参见 服务关联角色

角色说明

配置审计自动修正服务关联角色的详细信息如下:
  • 角色名称:AliyunServiceRoleForConfigRemediation。
  • 角色权限策略名称:AliyunServiceRolePolicyForConfigRemediation。
  • 角色权限策略说明:授予配置审计访问对应云服务中资源的权限。
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ecs:TagResources",
            "vpc:TagResources",
            "dds:TagResources",
            "polardb:TagResources",
            "rds:TagResources",
            "kvstore:TagResources",
            "slb:TagResources",
            "oss:PutBucketTagging",
            "oss:GetBucketTagging",
            "nas:AddTags",
            "cdn:TagResources",
            "cbn:TagResources",
            "hbase:TagResources",
            "cen:TagResources",
            "cs:GetClusterInfo",
            "cs:UpdateClusterTags",
            "ddoscoo:CreateTagResources",
            "cdn:SetDomainServerCertificate",
            "oss:PutBucketACL",
            "oss:PutBucketReferer",
            "oss:PutBucketEncryption",
            "ecs:ModifyInstanceAttribute",
            "slb:SetLoadBalancerDeleteProtection",
            "actiontrail:CreateTrail",
            "actiontrail:StartLogging",
            "composer:InvokeFlow",
            "composer:GroupInvokeFlow",
            "composer:CreateFlow",
            "oos:StartExecution",
            "tag:TagResources",
            "tag:ListTagResources"
          ],
          "Resource": "*",
          "Effect": "Allow"
        },
        {
          "Action": "ram:PassRole",
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "acs:Service": [
                "composer.aliyuncs.com",
                "oos.aliyuncs.com"
              ]
            }
          }
        },
        {
          "Action": "ram:DeleteServiceLinkedRole",
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "remediation.config.aliyuncs.com"
            }
          }
        }
      ]
    }

创建自动修正服务关联角色

如果您针对规则设置了修正模板,当配置审计通过该规则检测资源为不合规时,会自动在RAM控制台创建自动修正服务关联角色。

删除自动修正服务关联角色

  1. 删除修正设置。
    • 删除规则的修正设置,操作方法请参见删除修正设置
    • 删除已设置修正的所有规则,操作方法请参见删除规则
  2. 删除自动修正服务关联角色。

    操作方法请参见删除RAM角色

相关操作