文档

应用安全服务关联角色

更新时间:

本文介绍应用安全服务关联角色AliyunServiceRoleForARMSSecurity以及如何删除该角色。

背景信息

应用安全服务关联角色AliyunServiceRoleForARMSSecurity是ARMS因为需要获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息,请参见服务关联角色

AliyunServiceRoleForARMSSecurity应用场景

应用安全功能需要访问阿里云安全服务的资源时,可通过自动创建的应用安全服务关联角色AliyunServiceRoleForARMSSecurity获取访问权限。

AliyunServiceRoleForARMSSecurity权限说明

AliyunServiceRoleForARMSSecurity具备以下云服务的访问权限:

安全服务的访问权限

{
      "Action": [
        "yundun-waf:ModifyProtectionConfig",
        "yundun-waf:ModifyApplicationsRaspState",
        "yundun-waf:DescribeRiskDependencyStatisticsInfo",
        "yundun-waf:DescribeRiskDependencies",
        "yundun-waf:DescribeRiskCount",
        "yundun-waf:DescribeProtectionStatisticsInfo",
        "yundun-waf:DescribeProtectionConfig",
        "yundun-waf:DescribeMiddlewareInstances",
        "yundun-waf:DescribeDependencyInstances",
        "yundun-waf:DescribeDependencies",
        "yundun-waf:DescribeAttackStatisticsInfo",
        "yundun-waf:DescribeAttacks",
        "yundun-waf:DescribeAttackCount",
        "yundun-waf:DescribeAttackApplicationCount",
        "yundun-waf:DescribeApplications"
        "yundun-waf:GetRaspCommercialStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

删除AliyunServiceRoleForARMSSecurity

如果您使用了应用安全功能,然后需要删除应用安全服务关联角色AliyunServiceRoleForARMSSecurity(例如您出于安全考虑,需要删除该角色),则需要先明确删除后的影响:删除AliyunServiceRoleForARMSSecurity后,将无法正常查看应用安全相关页面。如需继续使用应用安全服务,则需要重新授权。

删除AliyunServiceRoleForARMSSecurity的操作步骤如下:

说明

如果当前账号下存在应用已接入应用安全,请先取消接入并重启,然后再删除角色,否则会导致删除失败。应用取消接入的操作,请参见取消接入目标应用

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 角色页面的搜索框通过关键词搜索名称为AliyunServiceRoleForARMSSecurity的RAM角色。

  4. 在右侧操作列,单击删除

  5. 单击确定

常见问题

Q:为什么我的RAM用户无法自动创建ARMS服务关联角色AliyunServiceRoleForARMSSecurity?

A:RAM用户需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForARMSSecurity。因此,在RAM用户无法自动创建AliyunServiceRoleForARMSSecurity时,您需要为RAM用户添加指定自定义权限策略或名称为AliyunARMSFullAccess系统策略。

自定义权限策略和系统策略的使用场景如下:

  • 指定自定义策略可以用于为只读RAM用户仅添加使用应用安全的权限。

  • 名称为AliyunARMSFullAccess系统策略可以为RAM用户添加管理ARMS的所有权限(包括应用安全的使用权限)。

(可选)步骤一:创建自定义权限策略

  1. 使用阿里云账号(主账号)或具有管理权限的RAM用户登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 权限策略

  3. 权限策略页面,单击创建权限策略

  4. 创建权限策略页面,单击脚本编辑页签。在策略文档中输入以下自定义权限策略内容。

    {
      "Statement": [{
        "Action": [
          "ram:CreateServiceLinkedRole"
        ],
        "Resource": "acs:ram:*:主账号ID:role/*",
        "Effect": "Allow",
        "Condition": {
          "StringEquals": {
            "ram:ServiceName": [
              "security.arms.aliyuncs.com"
            ]
          }
        }
      }, {
        "Action": "arms:CreateSecurityAuth",
        "Effect": "Allow",
        "Resource": "*"
      }],
      "Version": "1"
    }
    说明

    请将主账号ID替换为您实际的阿里云账号(主账号)ID。

  5. 编写完成后,单击继续编辑基本信息

  6. 输入权限策略名称备注

  7. 单击确定

步骤二:为RAM用户添加权限策略。

  1. 使用阿里云账号(主账号)或RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

  4. 添加权限面板,为RAM用户添加权限。

    1. 选择授权应用范围。

    2. 指定授权主体。

      授权主体即需要添加权限的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,包括:

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务

      • 自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略

      说明

      每次最多绑定5条策略,如需绑定更多策略,请分多次操作。

  5. 单击确定

  6. 单击完成