本文介绍DDoS高防使用的普通服务角色的作用是什么,可以授权谁可以访问其他哪些云资源。
功能概述
普通服务角色(Service Role)是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。更多信息,请参见RAM角色概览。
使用DDoS高防时,系统提供的普通服务角色及其包含的系统权限策略如下:
AliyunDDoSCOOLogArchiveRole
使用DDoS高防(中国内地)的全量日志分析时,会提示您创建普通服务角色AliyunDDoSCOOLogArchiveRole,并默认授予AliyunDDoSCOOLogArchiveRolePolicy系统权限策略。DDoS高防(中国内地)使用该角色访问日志服务,将日志数据存储到日志服务专属日志库。
AliyunDDosDipLogArchivingRole
使用DDoS高防(非中国内地)的全量日志分析时,会提示您创建普通服务角色AliyunDDosDipLogArchivingRole,并默认授予AliyunDDosDipLogArchivingRolePolicy系统权限策略。DDoS高防(非中国内地)使用该角色访问日志服务,将日志数据存储到日志服务专属日志库。
AliyunDDoSCOODefaultRole
使用DDoS高防时,会提示您创建普通服务角色AliyunDDoSCOODefaultRole,并默认授予AliyunDDoSCOORolePolicy系统权限策略。DDoS高防服务默认使用此角色来访问您在其他云产品中的资源。
RAM用户使用普通服务角色需要的权限
如果使用RAM用户创建或删除普通服务角色,必须使用阿里云账号为该RAM用户授权。
方式一:授予AliyunYundunHighFullAccess权限策略。
方式二:在自定义权限策略的
Action语句中为RAM用户添加以下权限:创建普通服务角色:
ram:CreateRole删除普通服务角色:
ram:DeleteRole
创建普通服务角色
DDoS高防的普通服务角色无需您手动创建,当您使用对应功能时,DDoS高防会自动提示您创建。
删除普通服务角色
删除普通服务角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。
查看普通服务角色
当普通服务角色创建成功后,您可以在RAM控制台的角色页面,通过搜索查看角色详情。
基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。
信任策略
在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。普通服务角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
关于如何查看普通服务角色的详细操作,请参见查看RAM角色。