本文介绍加密服务服务关联角色AliyunServiceRoleForHSMLogDelivery的应用场景、权限以及如何删除该角色。

AliyunServiceRoleForHSMLogDelivery应用场景

加密服务提供的安全审计服务需要获取对象存储OSS(Object Storage Service)云服务的资源的访问权限,故加密服务设置了服务关联角色AliyunServiceRoleForHSMLogDelivery。关于服务关联角色的更多信息,请参见服务关联角色

AliyunServiceRoleForHSMLogDelivery权限说明

AliyunServiceRoleForHSMLogDelivery的权限包括:获取OSS Bucket列表及指定路径的读写权限。

关于AliyunServiceRoleForHSMLogDeliver的权限的详细信息,请参考如下内容:

{
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "logdelivery.hsm.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "oss:GetObject",
        "oss:PutObject"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:oss:*:*:*/aliyun-hsm-audit-log",
        "acs:oss:*:*:*/aliyun-hsm-audit-log/*"
      ]
    },
    {
      "Action": [
        "oss:ListBuckets"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:oss:*:*:*"
      ]
    }

删除服务关联角色

如果您不再使用加密服务中的安全审计服务,您可以删除AliyunServiceRoleForHSMLogDelivery。在删除该角色前,需要先确保当前阿里云账号下没有正在使用的密码机实例,并关闭该账号下的安全审计服务,然后在RAM控制台删除该服务关联角色。如果当前阿里云账号的密码机实例已投入使用,则您不能删除AliyunServiceRoleForHSMLogDelivery。

关于关闭安全审计服务的具体操作,请参见关闭安全审计服务。关于删除服务关联角色的具体操作,请参见删除服务关联角色