云治理中心服务关联角色

云治理中心提供了AliyunServiceRoleForGovernance、AliyunServiceRoleForGovernanceSetup、AliyunServiceRoleForGovernanceNetworkBlueprint和AliyunServiceRoleForGovernanceCloudNativeBlueprint四个服务关联角色。本文为您介绍如何创建、查看和删除这些服务关联角色。

概述

服务关联角色是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。云治理中心提供的服务关联角色如下表所示。

服务关联角色名称

云服务标识

权限策略名称

AliyunServiceRoleForGovernance

governance.aliyuncs.com

AliyunServiceRolePolicyForGovernance

AliyunServiceRoleForGovernanceSetup

setup.governance.aliyuncs.com

AliyunServiceRolePolicyForGovernanceSetup

AliyunServiceRoleForGovernanceNetworkBlueprint

blueprint-network.governance.aliyuncs.com

AliyunServiceRolePolicyForGovernanceNetworkBlueprint

AliyunServiceRoleForGovernanceCloudNativeBlueprint

blueprint-cloud-native.governance.aliyuncs.com

AliyunServiceRolePolicyForGovernanceCloudNativeBlueprint

更多信息,请参见服务关联角色

AliyunServiceRoleForGovernance

应用场景

服务关联角色会创建在资源目录的管理账号内,应用场景如下:

  • 当云治理中心协助您初始化资源结构时,需要通过服务关联角色开通资源目录、创建资源夹、创建成员和查询管理账号的财务结算关系等。

  • 当云治理中心为您展示和管理资源目录结构时,需要通过服务关联角色获取实时的资源目录结构信息,完成删除资源夹和移动成员等操作。

创建服务关联角色

开通云治理中心时,会要求您创建该服务关联角色。更多信息,请参见开通云治理中心

查看服务关联角色

当服务关联角色创建成功后,您可以登录管理账号,在RAM控制台的角色页面,通过搜索AliyunServiceRoleForGovernance查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明

    您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。

  • 信任策略

    在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色,请参见查看RAM角色

删除服务关联角色

重要

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。

当您长时间不使用云治理中心或者需要注销阿里云账号时,您可能需要手动删除服务关联角色。

当服务关联角色没有被任何云资源使用时,您可以在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色

AliyunServiceRoleForGovernanceSetup

应用场景

服务关联角色会创建在成员中,应用场景如下:

  • 当云治理中心需要在资源目录的成员中进行配置时,例如:在日志账号内设置审计日志投递等,需要通过服务关联角色再创建一个专属于该任务的RAM角色,并授予相应的权限供云治理中心使用。

  • 当您准备删除该服务关联角色时,云治理中心需要通过该服务关联角色查询当前账号所在的资源目录,确定是否可以删除。

创建服务关联角色

云治理中心在进行Landing Zone搭建时,会自动在所需成员中创建服务关联角色。

查看服务关联角色

当服务关联角色创建成功后,您可以访问成员,在RAM控制台的角色页面,通过搜索AliyunServiceRoleForGovernanceSetup查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明

    您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。

  • 信任策略

    在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

删除服务关联角色

重要

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。

当您长时间不使用云治理中心或者需要注销阿里云账号时,您可能需要手动删除服务关联角色。

您需要先将成员从资源目录中移除,才能删除成员中的服务关联角色。

当服务关联角色没有被任何云资源使用时,您可以在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色

AliyunServiceRoleForGovernanceNetworkBlueprint

应用场景

服务关联角色会创建在成员中,应用场景如下:

  • 当云治理中心需要在资源目录的成员中进行网络配置时,例如:在共享服务账号内配置云企业网等,需要通过服务关联角色开通云企业网、创建云企业网实例和配置路由规则等。

  • 当您准备删除该服务关联角色时,云治理中心需要通过该服务关联角色查询当前成员所在的资源目录,确定是否可以删除。

创建服务关联角色

云治理中心在进行网络初始化配置时,会自动在对应成员中创建服务关联角色。

查看服务关联角色

当服务关联角色创建成功后,您可以访问成员,在RAM控制台的角色页面,通过搜索AliyunServiceRoleForGovernanceNetworkBlueprint查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明

    您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。

  • 信任策略

    在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

删除服务关联角色

重要

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。

当您长时间不使用云治理中心或者需要注销阿里云账号时,您可能需要手动删除服务关联角色。

您需要先将成员从资源目录中移除,才能删除成员中的服务关联角色。

当服务关联角色没有被任何云资源使用时,您可以在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色

AliyunServiceRoleForGovernanceCloudNativeBlueprint

应用场景

服务关联角色会创建在成员中,应用场景如下:

  • 当云治理中心需要在资源目录的成员中进行云原生配置时,例如:在共享服务账号内配置容器集群等,需要通过服务关联角色开通容器服务、创建容器集群等。

  • 当您准备删除该服务关联角色时,云治理中心需要通过该服务关联角色查询当前成员所在的资源目录,确定是否可以删除。

创建服务关联角色

云治理中心在进行云原生初始化配置时,会自动在所需成员中创建服务关联角色。

查看服务关联角色

当服务关联角色创建成功后,您可以访问成员,在RAM控制台的角色页面,通过搜索AliyunServiceRoleForGovernanceCloudNativeBlueprint查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明

    您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。

  • 信任策略

    在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

删除服务关联角色

重要

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。

当您长时间不使用云治理中心或者需要注销阿里云账号时,您可能需要手动删除服务关联角色。

您需要先将成员从资源目录中移除,才能删除成员中的服务关联角色。

当服务关联角色没有被任何云资源使用时,您可以在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色