首次使用数据库审计服务前,您需要先完成允许数据库审计服务访问云资源的授权。本文介绍了数据库审计服务关联角色AliyunServiceRoleForDbaudit的权限,如何为数据库审计服务进行云资源授权、以及如何删除服务关联角色。
前提条件
背景信息
数据库审计产品在为用户创建和存储用户日志服务SLS的原始日志时,需要获取其他云服务的访问权限,访问控制服务(RAM)会自动创建数据库审计服务关联角色AliyunServiceRoleForDbaudit。更多关于服务关联角色的信息,请参见服务关联角色。
应用场景
数据库审计功能需要访问日志服务SLS、专有网络VPC云服务或安全组的资源时,阿里云会自动创建数据库审计服务关联角色AliyunServiceRoleForDbaudit,授权数据库审计服务访问其他关联的云服务。
开通访问云资源的授权
操作步骤查看服务关联角色
服务关联角色(AliyunServiceRoleForDbaudit)创建成功后,您可以在RAM控制台查看该角色。包括角色基本信息、角色的信任策略和角色的权限策略(AliyunServiceRoleForDbaudit)。
删除AliyunServiceRoleForDbaudit
如果您使用了数据库审计功能,并且需要删除数据库审计服务关联角色AliyunServiceRoleForDbaudit,请先释放已有的数据库审计实例,在无数据库审计实例的情况下进行删除。以下介绍删除AliyunServiceRoleForDbaudit的具体操作。
常见问题
为什么我的RAM用户无法自动创建数据库审计服务关联角色AliyunServiceRoleForDbaudit?您需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForDbaudit。因此,在RAM用户无法自动创建AliyunServiceRoleForDbaudit时,您需为其添加以下权限策略。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:阿里云账号ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"dbaudit.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}