服务关联角色SLR(Service-linked role)是一种可信实体为阿里云服务的RAM角色。弹性伸缩使用服务关联角色获取其他云服务或云资源的访问权限。
通常情况下,服务关联角色是在您执行某项操作时,由系统自动创建。在自动创建服务关联角色失败或弹性伸缩不支持自动创建时,您需要手动创建服务关联角色。
阿里云访问控制为每个服务关联角色提供了一个系统权限策略,该策略不支持修改。如果您想了解该系统策略的具体内容,可前往指定服务关联角色的详情页面查看。详情请参见AliyunESSFullAccess。
应用场景
首次创建伸缩组时,弹性伸缩需要手动创建服务关联角色
AliyunServiceRoleForAutoScaling
,通过该服务关联角色获得关联云资源的访问权限,例如ECS、VPC等的访问权限。已创建的服务关联角色
AliyunServiceRoleForAutoScaling
被删除后,再次创建伸缩组时,您需要重新创建服务关联角色AliyunServiceRoleForAutoScaling
。
RAM用户使用服务关联角色需要的权限
如果使用RAM用户创建或删除服务关联角色,必须联系管理员为该RAM用户授予管理员权限(AliyunServiceRoleForAutoScaling
)或在自定义权限策略的Action
语句中为RAM用户添加以下权限:
创建服务关联角色:
ram:CreateServiceLinkedRole
删除服务关联角色:
ram:DeleteServiceLinkedRole
关于授权的详细操作,请参见创建和删除服务关联角色所需的权限。
创建服务关联角色
在您使用弹性伸缩时,系统会检查当前账号是否已有服务关联角色AliyunServiceRoleForAutoScaling
。如果不存在,控制台会提示您权限不足,然后需要您授权后系统自动创建该服务关联角色。具体操作,请参见创建AliyunServiceRoleForAutoScaling。
服务关联角色创建成功后,受信云服务可以通过角色扮演的方式跨服务访问对应云资源,可能会因创建云服务器ECS、专有网络VPC、云数据库RDS等而产生资费,请您知悉。
此外,您也可以通过RAM控制台或API方式为弹性伸缩手动创建服务关联角色。具体操作,请参见创建服务关联角色和CreateServiceLinkedRole。
查看服务关联角色
当服务关联角色创建成功后,您可以在RAM控制台的角色页面,通过搜索AliyunServiceRoleForAutoScaling
查看该服务关联角色的以下信息:
弹性伸缩服务关联角色(AliyunServiceRoleForAutoScaling
)包含了系统权限策略AliyunServiceRolePolicyForAutoScaling
,服务关联角色包含的权限策略由对应的云服务定义和使用,您不能为服务关联角色添加、修改或删除权限。您可以在角色详情中查看角色包含的权限策略等信息(如下图所示),具体操作,请参见查看RAM角色。
基本信息
在
AliyunServiceRoleForAutoScaling
角色详情页的基本信息区域,查看角色的基本信息,包括角色名称、创建时间、角色ARN和备注等。权限策略
在
AliyunServiceRoleForAutoScaling
角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。信任策略
在
AliyunServiceRoleForAutoScaling
角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service
字段查看。
关于如何查看服务关联角色的详细操作,请参见查看RAM角色。
删除服务关联角色
删除AliyunServiceRoleForAutoScaling前,必须先删除当前账号下所有地域中的弹性伸缩资源,包括伸缩组、定时任务和报警任务,否则会提示删除失败。
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。
如果您暂时不需要使用AliyunServiceRoleForAutoScaling
,例如不需要伸缩组创建和管理资源。确定不使用该角色时,可以删除AliyunServiceRoleForAutoScaling
。具体操作,请参见删除RAM角色。