云治理中心服务关联角色是在某些场景下,为了完成云治理中心的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。云治理中心提供了AliyunServiceRoleForGovernance和AliyunServiceRoleForGovernanceSetup两个服务关联角色。

AliyunServiceRoleForGovernance服务关联角色

  • 应用场景

    AliyunServiceRoleForGovernance服务关联角色会创建在资源目录的管理账号内,应用场景如下:

    • 当云治理中心协助您初始化资源结构时,需要通过服务关联角色开通资源目录、创建资源夹、创建成员和查询管理账号的财务结算关系等。
    • 当云治理中心为您展示和管理资源目录结构时,需要通过服务关联角色获取实时的资源目录结构信息,完成删除资源夹和移动成员等操作。
  • 权限说明
    • 角色名称:AliyunServiceRoleForGovernance。
    • 角色权限策略名称:AliyunServiceRolePolicyForGovernance。
    • 角色权限策略说明:授予云治理中心开通、查询和管理资源目录的权限,查询财务结算关系的权限,以及删除服务关联角色的权限。
      {
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "resourcemanager:GetResourceDirectory",
              "resourcemanager:InitResourceDirectory",
              "resourcemanager:ListResources",
              "resourcemanager:ListFoldersForParent",
              "resourcemanager:ListAccountsForParent",
              "resourcemanager:ListAccounts",
              "resourcemanager:CreateFolder",
              "resourcemanager:CreateResourceAccount",
              "resourcemanager:GetFolder",
              "resourcemanager:GetAccount",
              "resourcemanager:UpdateFolder",
              "resourcemanager:DeleteFolder",
              "resourcemanager:MoveAccount",
              "resourcemanager:UpdateAccount",
              "resourcemanager:ListHandshakesForResourceDirectory",
              "resourcemanager:GetPayerForAccount"
            ],
            "Resource": "*"
          },
          {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ram:ServiceName": "governance.aliyuncs.com"
              }
            }
          }
        ],
        "Version": "1"
      }
  • 创建服务关联角色
    1. 登录云治理中心控制台
    2. 云治理中心页面,单击开始治理
    3. 欢迎使用云治理中心对话框,查看服务关联角色信息,然后单击确定

      云治理中心会自动创建服务关联角色(AliyunServiceRoleForGovernance)。

  • 删除服务关联角色

    服务关联角色(AliyunServiceRoleForGovernance)不能自动删除,只能登录RAM控制台手动删除。具体操作,请参见删除RAM角色

AliyunServiceRoleForGovernanceSetup服务关联角色

  • 应用场景

    AliyunServiceRoleForGovernanceSetup服务关联角色会创建在成员中,应用场景如下:

    • 当云治理中心需要在资源目录的成员中进行配置时,例如:在日志账号内设置审计日志投递等,需要通过服务关联角色再创建一个专属于该任务的RAM角色,并授予相应的权限供云治理中心使用。
    • 当您准备删除该服务关联角色时,云治理中心需要通过该服务关联角色查询当前账号所在的资源目录,确定是否可以删除。
  • 权限说明
    • 角色名称:AliyunServiceRoleForGovernanceSetup。
    • 角色权限策略名称:AliyunServiceRolePolicyForGovernanceSetup。
    • 角色权限策略说明:授予云治理中心创建RAM角色并授权的权限,获取资源目录结构的权限,以及删除服务关联角色的权限。
      {
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "ram:CreateRole",
              "ram:AttachPolicyToRole"
            ],
            "Resource": [
              "acs:ram:*:*:role/aliyungovernance*",
              "acs:ram:*:system:policy/AliyunGovernance*"
            ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "resourcemanager:GetResourceDirectory"
            ],
            "Resource": "*"
          },
          {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ram:ServiceName": "setup.governance.aliyuncs.com"
              }
            }
          }
        ],
        "Version": "1"
      }
  • 创建服务关联角色

    云治理中心在进行初始化配置时,会自动在所需成员中创建服务关联角色(AliyunServiceRoleForGovernanceSetup)。

  • 删除服务关联角色

    您需要先将成员从资源目录中移除,才能删除成员中的服务关联角色(AliyunServiceRoleForGovernanceSetup)。

    服务关联角色(AliyunServiceRoleForGovernanceSetup)不能自动删除,只能登录RAM控制台手动删除。具体操作,请参见删除RAM角色