应用安全服务关联角色_应用实时监控服务(ARMS)-阿里云帮助中心

本文介绍应用安全服务关联角色AliyunServiceRoleForARMSSecurity以及如何删除该角色。

背景信息

应用安全服务关联角色AliyunServiceRoleForARMSSecurity是ARMS因为需要获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息，请参见服务关联角色。

AliyunServiceRoleForARMSSecurity应用场景

应用安全功能需要访问阿里云安全服务的资源时，可通过自动创建的应用安全服务关联角色AliyunServiceRoleForARMSSecurity获取访问权限。

AliyunServiceRoleForARMSSecurity权限说明

AliyunServiceRoleForARMSSecurity具备以下云服务的访问权限：

安全服务的访问权限

{
      "Action": [
        "yundun-waf:ModifyProtectionConfig",
        "yundun-waf:ModifyApplicationsRaspState",
        "yundun-waf:DescribeRiskDependencyStatisticsInfo",
        "yundun-waf:DescribeRiskDependencies",
        "yundun-waf:DescribeRiskCount",
        "yundun-waf:DescribeProtectionStatisticsInfo",
        "yundun-waf:DescribeProtectionConfig",
        "yundun-waf:DescribeMiddlewareInstances",
        "yundun-waf:DescribeDependencyInstances",
        "yundun-waf:DescribeDependencies",
        "yundun-waf:DescribeAttackStatisticsInfo",
        "yundun-waf:DescribeAttacks",
        "yundun-waf:DescribeAttackCount",
        "yundun-waf:DescribeAttackApplicationCount",
        "yundun-waf:DescribeApplications"
        "yundun-waf:GetRaspCommercialStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

删除AliyunServiceRoleForARMSSecurity

如果您使用了应用安全功能，然后需要删除应用安全服务关联角色AliyunServiceRoleForARMSSecurity（例如您出于安全考虑，需要删除该角色），则需要先明确删除后的影响：删除AliyunServiceRoleForARMSSecurity后，将无法正常查看应用安全相关页面。如需继续使用应用安全服务，则需要重新授权。

删除AliyunServiceRoleForARMSSecurity的操作步骤如下：

说明

如果当前账号下存在应用已接入应用安全，请先取消接入并重启，然后再删除角色，否则会导致删除失败。应用取消接入的操作，请参见取消接入目标应用。

使用阿里云账号登录RAM控制台。
在左侧导航栏，选择身份管理 > 角色。
在角色页面的搜索框通过关键词搜索名称为AliyunServiceRoleForARMSSecurity的RAM角色。
在右侧操作列，单击删除。
单击确定。

常见问题

Q：为什么我的RAM用户无法自动创建ARMS服务关联角色AliyunServiceRoleForARMSSecurity？

A：RAM用户需要拥有指定的权限，才能自动创建或删除AliyunServiceRoleForARMSSecurity。因此，在RAM用户无法自动创建AliyunServiceRoleForARMSSecurity时，您需要为RAM用户添加指定自定义权限策略或名称为AliyunARMSFullAccess系统策略。

自定义权限策略和系统策略的使用场景如下：

指定自定义策略可以用于为只读RAM用户仅添加使用应用安全的权限。
名称为AliyunARMSFullAccess系统策略可以为RAM用户添加管理ARMS的所有权限（包括应用安全的使用权限）。

（可选）步骤一：创建自定义权限策略

使用阿里云账号（主账号）或具有管理权限的RAM用户登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。

在创建权限策略页面，单击脚本编辑页签。在策略文档中输入以下自定义权限策略内容。

{
  "Statement": [{
    "Action": [
      "ram:CreateServiceLinkedRole"
    ],
    "Resource": "acs:ram:*:主账号ID:role/*",
    "Effect": "Allow",
    "Condition": {
      "StringEquals": {
        "ram:ServiceName": [
          "security.arms.aliyuncs.com"
        ]
      }
    }
  }, {
    "Action": "arms:CreateSecurityAuth",
    "Effect": "Allow",
    "Resource": "*"
  }],
  "Version": "1"
}

说明

请将主账号ID替换为您实际的阿里云账号（主账号）ID。

编写完成后，单击继续编辑基本信息。
输入权限策略名称和备注。
单击确定。

步骤二：为RAM用户添加权限策略。

使用阿里云账号（主账号）或RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户页面，单击目标RAM用户操作列的添加权限。
在添加权限面板，为RAM用户添加权限。
1. 选择授权应用范围。
  - 整个云账号：权限在当前阿里云账号内生效。
  - 指定资源组：权限在指定的资源组内生效。
    说明
    指定资源组授权生效的前提是该云服务已支持资源组，详情请参见支持资源组的云服务。资源组授权示例，请参见使用资源组管理指定的ECS实例。
2. 指定授权主体。
  授权主体即需要添加权限的RAM用户。
3. 选择权限策略。
  权限策略是一组访问权限的集合，包括：
  - 系统策略：由阿里云创建，策略的版本更新由阿里云维护，用户只能使用不能修改。更多信息，请参见支持RAM的云服务。
  - 自定义策略：由用户管理，策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息，请参见创建自定义权限策略。
  说明
  每次最多绑定5条策略，如需绑定更多策略，请分多次操作。
单击确定。
单击完成。