管理ASM服务关联角色

ASM服务关联角色(AliyunServiceRoleForServiceMesh)是访问控制提供的一种服务关联角色,用于授权服务网格访问关联云资源。本文介绍如何创建和删除ASM服务关联角色。

背景信息

服务关联角色是与云服务关联的角色。通过ASM服务关联角色(AliyunServiceRoleForServiceMesh),服务网格可以获得阿里云容器服务ACK、专有网络VPC、负载均衡CLB、日志服务SLS、可观测链路 OpenTelemetry 版、应用实时监控服务ARMS、云企业网CEN等的访问权限。更多服务关联角色的说明,请参见服务关联角色

注意事项

如果您使用的是阿里云账号,则默认有创建ASM服务关联角色的权限。如果您使用的是RAM用户,需要为RAM用户授予创建服务网格服务关联角色的权限。以下为需要授予的权限策略(CreateServiceLinkedRole)。具体操作,请参见为RAM用户授权

{
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "servicemesh.aliyuncs.com"
                }
            }
        }
    ],
    "Version": "1"
}

创建ASM服务关联角色

在您使用服务网格时,系统会检查当前账号是否已有AliyunServiceRoleForServiceMesh。如果不存在则会提示进行创建,在服务网格提示页面单击立即创建,即可创建ASM服务关联角色。服务关联角色

服务关联角色包含的权限策略由对应的云服务定义和使用,您不能为服务关联角色添加、修改或删除权限。您可以在角色详情中查看角色包含的权限策略等信息。具体操作,请参见查看RAM角色

删除ASM服务关联角色

如果您暂时不需要使用AliyunServiceRoleForServiceMesh,例如不需要创建或使用服务网格,可以删除AliyunServiceRoleForServiceMesh。

重要

删除AliyunServiceRoleForServiceMesh前,必须先删除当前账号下所有地域中的服务网格实例,否则会提示删除失败。一个阿里云账号下只有一个AliyunServiceRoleForSerivceMesh,删除AliyunServiceRoleForServiceMesh后,阿里云账号和RAM用户都将无法再创建和使用服务网格

  1. 使用阿里云账号登录RAM控制台在左侧导航栏,单击身份管理 > 角色

  2. 角色页面的搜索框,输入AliyunServiceRoleForServiceMesh,然后在操作列,单击AliyunServiceRoleForServiceMesh对应的删除

  3. 删除角色对话框,单击确定

    说明

    删除服务关联角色时,操作列会先显示角色删除中…,您需要等待几秒钟,直至提示删除成功。对于删除失败的情形,请在报错提示信息中单击查看详情,根据错误详情进行相应处理。