本文介绍应用安全服务关联角色AliyunServiceRoleForARMSSecurity以及如何删除该角色。

背景信息

应用安全服务关联角色AliyunServiceRoleForARMSSecurity是ARMS因为需要获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息,请参见服务关联角色

AliyunServiceRoleForARMSSecurity应用场景

应用安全功能需要访问阿里云安全服务的资源时,可通过自动创建的应用安全服务关联角色AliyunServiceRoleForARMSSecurity获取访问权限。

AliyunServiceRoleForARMSSecurity权限说明

AliyunServiceRoleForARMSSecurity具备以下云服务的访问权限:

安全服务的访问权限
{
      "Action": [
        "yundun-waf:ModifyProtectionConfig",
        "yundun-waf:ModifyApplicationsRaspState",
        "yundun-waf:DescribeRiskDependencyStatisticsInfo",
        "yundun-waf:DescribeRiskDependencies",
        "yundun-waf:DescribeRiskCount",
        "yundun-waf:DescribeProtectionStatisticsInfo",
        "yundun-waf:DescribeProtectionConfig",
        "yundun-waf:DescribeMiddlewareInstances",
        "yundun-waf:DescribeDependencyInstances",
        "yundun-waf:DescribeDependencies",
        "yundun-waf:DescribeAttackStatisticsInfo",
        "yundun-waf:DescribeAttacks",
        "yundun-waf:DescribeAttackCount",
        "yundun-waf:DescribeAttackApplicationCount",
        "yundun-waf:DescribeApplications"
        "yundun-waf:GetRaspCommercialStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

删除AliyunServiceRoleForARMSSecurity

如果您使用了应用安全功能,然后需要删除应用安全服务关联角色AliyunServiceRoleForARMSSecurity(例如您出于安全考虑,需要删除该角色),则需要先明确删除后的影响:删除AliyunServiceRoleForARMSSecurity后,将无法正常查看应用安全相关页面。如需继续使用应用安全服务,则需要重新授权。

删除AliyunServiceRoleForARMSSecurity的操作步骤如下:

说明 如果当前账号下存在应用已接入应用安全,请先取消接入并重启,然后再删除角色,否则会导致删除失败。应用取消接入的操作,请参见取消接入目标应用
  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 角色页面的搜索框通过关键词搜索名称为AliyunServiceRoleForARMSSecurity的RAM角色。
  4. 在右侧操作列,单击删除
  5. 单击确定

常见问题

Q:为什么我的RAM用户无法自动创建ARMS服务关联角色AliyunServiceRoleForARMSSecurity?

A:RAM用户需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForARMSSecurity。因此,在RAM用户无法自动创建AliyunServiceRoleForARMSSecurity时,您需要为RAM用户添加指定自定义权限策略或名称为AliyunARMSFullAccess系统策略。

自定义权限策略和系统策略的使用场景如下:

  • 指定自定义策略可以用于为只读RAM用户仅添加使用应用安全的权限。
  • 名称为AliyunARMSFullAccess系统策略可以为RAM用户添加管理ARMS的所有权限(包括应用安全的使用权限)。

(可选)步骤一:创建自定义权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。在策略文档中输入以下自定义权限策略内容。
    {
  "Statement": [{
    "Action": [
      "ram:CreateServiceLinkedRole"
    ],
    "Resource": "acs:ram:*:主账号ID:role/*",
    "Effect": "Allow",
    "Condition": {
      "StringEquals": {
        "ram:ServiceName": [
          "security.arms.aliyuncs.com"
        ]
      }
    }
  }, {
    "Action": "arms:CreateSecurityAuth",
    "Effect": "Allow",
    "Resource": "*"
  }],
  "Version": "1"
}
    说明 请将主账号ID替换为您实际的阿里云账号(主账号)ID。
  5. 编写完成后,单击下一步:编辑基本信息
  6. 输入权限策略名称备注
  7. 单击确定

步骤二:为RAM用户添加权限策略。

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 输入授权主体。
      授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    3. 选择权限策略。
      说明 每次最多绑定5条策略,如需绑定更多策略,请分次操作。
  5. 单击确定
  6. 单击完成