PAI-EAS通过服务关联角色AliyunServiceRoleForPaiEas获取其他云服务的访问权限,首次使用PAI-EAS时,阿里云账号需要为该角色授权。本文介绍AliyunServiceRoleForPaiEas角色拥有的访问权限及如何删除该角色。

背景信息

PAI-EAS服务关联角色AliyunServiceRoleForPaiEas是PAI-EAS在某些情况下,为了完成自身的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息请参见服务关联角色

当PAI-EAS部分功能需要访问对象存储OSS、日志服务SLS、云服务器ECS及专有网络VPC云服务的资源时,您可以通过PAI-EAS服务关联角色AliyunServiceRoleForPaiEas获取访问权限。

AliyunServiceRoleForPaiEas权限说明

AliyunServiceRoleForPaiEas拥有以下云服务的访问权限:
  • 对象存储OSS的访问权限
        {
          "Action": [
            "oss:GetObject",
            "oss:PutObject",
            "oss:DeleteObject",
            "oss:ListParts",
            "oss:AbortMultipartUpload",
            "oss:ListObjects",
            "oss:ListBuckets",
            "oss:PutBucketCors",
            "oss:GetBucketCors",
            "oss:DeleteBucketCors"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
  • 日志服务SLS的访问权限
        {
          "Action": [
            "log:CreateConfig",
            "log:GetConfig",
            "log:UpdateConfig",
            "log:DeleteConfig",
            "log:CreateMachineGroup",
            "log:GetMachineGroup",
            "log:DeleteMachineGroup",
            "log:ApplyConfigToGroup",
            "log:ListProject",
            "log:ListLogStores"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
  • 云服务器ECS的访问权限
        {
          "Action": [
            "ecs:CreateNetworkInterface",
            "ecs:DeleteNetworkInterface",
            "ecs:DescribeNetworkInterfaces",
            "ecs:CreateNetworkInterfacePermission",
            "ecs:DescribeNetworkInterfacePermissions",
            "ecs:DeleteNetworkInterfacePermission",
            "ecs:DescribeSecurityGroups"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
  • 专有网络VPC的访问权限
        {
          "Action": [
            "vpc:DescribeVSwitchAttributes",
            "vpc:DescribeVpcs",
            "vpc:DescribeVSwitches",
            "vpc:DescribeVpcAttribute"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }

删除AliyunServiceRoleForPaiEas

如果您已部署了PAI-EAS服务,出于安全或其他方面的考虑想要删除服务关联角色AliyunServiceRoleForPaiEas,则需要明确删除该角色的影响。删除AliyunServiceRoleForPaiEas后,您可能无法再更新服务版本、创建VPC高速通道或投递服务日志到SLS。

删除AliyunServiceRoleForPaiEas的操作步骤如下:
  1. 登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 角色页面的搜索框中,输入AliyunServiceRoleForPaiEas,系统会自动搜索到名称为AliyunServiceRoleForPaiEas的RAM角色。
  4. 单击目标角色操作列下的删除。删除AliyunServiceRoleForPaiEas
  5. 在删除RAM角色的确认对话框,单击确定
如果RAM用户无法删除AliyunServiceRoleForPaiEas,请参见为什么RAM用户无法自动创建或删除PAI-EAS服务关联角色AliyunServiceRoleForPaiEas?