AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云消息队列 MQTT 版 云消息队列 MQTT 安全合规 使用RAM进行访问控制 基于身份的策略 服务关联角色

服务关联角色

更新时间:
我的收藏

本文介绍云消息队列 MQTT 版服务关联角色的背景信息,权限策略、注意事项和常见问题。

背景信息

服务关联角色是某个云服务在某些情况下,为了完成自身的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。您在该云服务的控制台首次使用该功能时,系统会提示您完成服务关联角色的自动创建。更多服务关联角色相关信息,请参见服务关联角色

云消息队列 MQTT 版提供以下服务关联角色:

服务关联角色

角色权限策略

说明

AliyunServiceRoleForMqttCoreRuleEngine

AliyunServiceRolePolicyForMqttCoreRuleEngine

云消息队列 MQTT 版规则引擎通过扮演该RAM角色,获取云服务器(ECS)、私网连接(PrivateLink)、专有网络(VPC)和云消息队列 Kafka 版的权限,实现将云消息队列 MQTT 版消息流转到云消息队列 Kafka 版的功能。

重要

为避免服务异常,在删除服务关联角色前,需要先手动删除当前阿里云账号下的所有规则引擎,请谨慎操作。

权限策略

服务关联角色AliyunServiceRolePolicyForMqttCoreRuleEngine被授予的权限策略AliyunServiceRolePolicyForMqttCoreRuleEngine的策略内容如下:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "alikafka:ListInstance",
        "alikafka:ListTopic"
      ],
      "Resource": "acs:alikafka:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "privatelink:UpdateVpcEndpointAttribute",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:ListVpcEndpointServicesByEndUser",
        "privatelink:ListVpcEndpointZones",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:RemoveZoneFromVpcEndpoint"
      ],
      "Resource": "acs:privatelink:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "vpc:DescribeVSwitches",
        "ecs:CreateSecurityGroup"
      ],
      "Resource": "acs:vpc:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:RevokeSecurityGroup"
      ],
      "Resource": "acs:ecs:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "core-rule-engine.mqtt.aliyuncs.com"
        }
      }
    }
  ]
}

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明

    您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。

  • 信任策略

    在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色,请参见查看RAM角色

删除服务关联角色

重要

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。

当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在访问控制管理控制台手动删除服务关联角色。具体操作,请参见删除RAM角色

上一篇:权限策略示例下一篇:RAM主子账号授权