管理弹性伸缩服务关联角色
使用弹性伸缩前,您需要创建弹性伸缩服务关联角色(AliyunServiceRoleForAutoScaling),使弹性伸缩服务获得关联云资源的访问权限,例如ECS、VPC等的访问权限。本文介绍如何管理弹性伸缩的服务关联角色。
前提条件
阿里云账号默认拥有操作弹性伸缩的权限。但如果您使用RAM用户,您需要为RAM用户添加操作弹性伸缩的权限,具体操作,请参见为RAM用户授权。您可以为RAM用户添加如下任一种权限策略:
系统策略:您可以添加管理弹性伸缩服务的权限(
AliyunESSFullAccess),或添加只读访问弹性伸缩服务的权限(AliyunESSReadOnlyAccess)。自定义策略:您可以自定义权限策略。示例如下:
说明请将<account ID>替换为您的阿里云主账号的ID。
{ "Version": "1", "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "acs:ram:*:<account ID>:role/*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": [ "ess.aliyuncs.com" ] } } } ] }
背景信息
弹性伸缩服务关联角色(
AliyunServiceRoleForAutoScaling)是访问控制提供的一种服务关联角色,用于授权弹性伸缩服务访问您在其他云产品中的关联资源。例如,通过
AliyunServiceRoleForAutoScaling关联角色,弹性伸缩服务可以获得云服务器ECS、专有网络VPC、云数据库RDS、负载均衡SLB、运维编排OOS、消息服务MNS、云监控CMS服务的访问权限。更多服务关联角色的说明,请参见服务关联角色。说明如果您之前使用的是
AliyunESSDefaultRole角色来授权弹性伸缩服务访问关联的云资源,则阿里云会自动将AliyunESSDefaultRole角色迁移为AliyunServiceRoleForAutoScaling角色。关于迁移的更多信息,您可以在操作审计控制台查看。弹性伸缩服务关联角色(
AliyunServiceRoleForAutoScaling)包含了系统权限策略AliyunServiceRolePolicyForAutoScaling,服务关联角色包含的权限策略由对应的云服务定义和使用,您不能为服务关联角色添加、修改或删除权限。您可以在角色详情中查看角色包含的权限策略等信息(如下图所示),具体操作,请参见查看RAM角色。
创建AliyunServiceRoleForAutoScaling
在您使用弹性伸缩时,系统会检查当前账号是否已有AliyunServiceRoleForAutoScaling。如果不存在,控制台会提示您权限不足,请按以下步骤创建AliyunServiceRoleForAutoScaling。
- 登录弹性伸缩控制台。
单击创建服务关联角色。
在创建服务关联角色对话框中,单击确定。
弹性伸缩会自动创建
AliyunServiceRoleForAutoScaling。创建完成后,您可以使用弹性伸缩进行相关服务。
删除AliyunServiceRoleForAutoScaling
如果您暂时不需要使用AliyunServiceRoleForAutoScaling,例如不需要伸缩组创建和管理资源。确定不使用该角色时,可以删除AliyunServiceRoleForAutoScaling。具体操作,请参见删除RAM角色。
删除AliyunServiceRoleForAutoScaling前,必须先删除当前账号下所有地域中的弹性伸缩资源,包括伸缩组、定时任务和报警任务,否则会提示删除失败。
删除AliyunServiceRoleForAutoScaling后,弹性伸缩服务不能再创建和管理资源。
