服务关联角色_云备份(Cloud Backup)-阿里云帮助中心

云备份使用服务关联角色获取云服务器ECS、专有网络VPC、对象存储OSS、文件存储NAS等资源的访问权限。通常情况下，服务关联角色是在您开启某项备份功能、创建备份计划或者为数据源关联备份策略时时，由云备份自动创建。在自动创建服务关联角色失败或云备份不支持自动创建时，您需要手动创建服务关联角色。

背景信息

服务关联角色是一种可信实体为阿里云服务的RAM角色。云备份使用服务关联角色获取其他云服务或云资源的访问权限。

通常情况下，服务关联角色是在您执行某项操作时，由系统自动创建。在自动创建服务关联角色失败或云备份不支持自动创建时，您需要手动创建服务关联角色。

阿里云访问控制为每个服务关联角色提供了一个系统权限策略，该策略不支持修改。如果您想了解该系统策略的具体内容，可前往指定服务关联角色的详情页面查看。详情请参见云备份系统权限策略参考。

应用场景

云备份会在以下场景中，为您自动创建服务关联角色。

重要

在您开启某项备份功能、创建备份计划或为数据源绑定备份策略时，自动为您创建服务关联角色。

AliyunServiceRoleForHbrEcsBackup
在您使用ECS备份功能时，云备份自动创建服务关联角色AliyunServiceRoleForHbrEcsBackup获取访问云服务器ECS和专有网络VPC的资源权限。通过该服务关联角色，ECS备份功能可以获得云服务器ECS和专有网络VPC等访问权限。
AliyunServiceRoleForHbrOssBackup
在您使用OSS备份功能时，云备份自动创建服务关联角色AliyunServiceRoleForHbrOssBackup获取访问对象存储OSS云服务的资源权限。通过该服务关联角色，OSS备份功能可以获得对象存储OSS的访问权限。
AliyunServiceRoleForHbrNasBackup
在您使用NAS备份功能时，云备份自动创建服务关联角色AliyunServiceRoleForHbrNasBackup获取访问文件存储NAS云服务的资源权限。通过该服务关联角色，NAS备份功能可以获得文件存储NAS的访问权限。
AliyunServiceRoleForHbrCsgBackup
在您使用云存储网关备份功能时，云备份自动创建服务关联角色AliyunServiceRoleForHbrCsgBackup获取访问云存储网关云服务的资源权限。通过该服务关联角色，CSG备份功能可以获得云存储网关CSG的访问权限。
AliyunServiceRoleForHbrVaultEncryption
在您使用KMS密钥加密备份库功能时，云备份自动创建服务关联角色AliyunServiceRoleForHbrVaultEncryption获取访问密钥管理服务KMS云服务的资源权限。通过该服务关联角色，加密备份库功能可以获得密钥管理服务KMS的访问权限。
AliyunServiceRoleForHbrOtsBackup
在您使用表格存储备份库功能时，云备份自动创建服务关联角色AliyunServiceRoleForHbrOtsBackup获取访问表格存储云服务的资源权限。通过该服务关联角色，表格存储备份功能可以获得表格存储的访问权限。
AliyunServiceRoleForHbrCrossAccountBackup
在您使用跨账号备份功能时，云备份自动创建服务关联角色AliyunServiceRoleForHbrCrossAccountBackup获取访问您在其他云产品中的资源权限。通过该服务关联角色，跨账号备份功能可以获得您在其他云产品中资源的访问权限。
AliyunServiceRoleForHbrEcsEncryption
在您使用ECS整机备份功能开启异地复制需要指定异地加密的KMS密钥时，云备份自动创建服务关联角色AliyunServiceRoleForHbrEcsEncryption获取访问您在密钥管理服务KMS的资源权限。通过该服务关联角色，此功能可以获得密钥管理服务KMS的访问权限。

权限说明

云备份服务关联角色的权限内容如下：

通过AliyunServiceRoleForHbrEcsBackup获取访问ECS和VPC的权限

 {
      "Action": [
        "ecs:RunCommand",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:StopInvocation",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeInvocations"
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:AttachInstanceRamRole",
        "ecs:DetachInstanceRamRole"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*",
        "acs:ram:*:*:role/aliyunecsaccessinghbrrole"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:GetRole",
        "ram:GetPolicy",
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:PassRole"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": [
            "ecs.aliyuncs.com"
          ]
        }
      }
    },
    {
      "Action": [
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeImages",
        "ecs:CreateImage",
        "ecs:DeleteImage",
        "ecs:DescribeSnapshots",
        "ecs:CreateSnapshot",
        "ecs:DeleteSnapshot",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeAvailableResource",
        "ecs:ModifyInstanceAttribute",
        "ecs:CreateInstance",
        "ecs:DeleteInstance",
        "ecs:AllocatePublicIpAddress",
        "ecs:CreateDisk",
        "ecs:DescribeDisks",
        "ecs:AttachDisk",
        "ecs:DetachDisk",
        "ecs:DeleteDisk",
        "ecs:ResetDisk",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:ModifyResourceMeta"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

通过AliyunServiceRoleForHbrOssBackup获取访问OSS的权限

{
      "Action": [
        "oss:ListObjects",
        "oss:HeadBucket",
        "oss:GetBucket",
        "oss:GetBucketAcl",
        "oss:GetBucketLocation",
        "oss:GetBucketInfo",
        "oss:PutObject",
        "oss:CopyObject",
        "oss:GetObject",
        "oss:AppendObject",
        "oss:GetObjectMeta",
        "oss:PutObjectACL",
        "oss:GetObjectACL",
        "oss:PutObjectTagging",
        "oss:GetObjectTagging",
        "oss:InitiateMultipartUpload",
        "oss:UploadPart",
        "oss:UploadPartCopy",
        "oss:CompleteMultipartUpload",
        "oss:AbortMultipartUpload",
        "oss:ListMultipartUploads",
        "oss:ListParts"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

通过AliyunServiceRoleForHbrNasBackup获取访问NAS的权限

{
      "Action": [
        "nas:DescribeFileSystems",
        "nas:CreateMountTargetSpecial",
        "nas:DeleteMountTargetSpecial",
        "nas:CreateMountTarget",
        "nas:DeleteMountTarget",
        "nas:DescribeMountTargets",
        "nas:DescribeAccessGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

通过AliyunServiceRoleForHbrCsgBackup获取访问CSG的权限

{
      "Action": [
        "hcs-sgw:DescribeGateways"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

通过AliyunServiceRoleForHbrVaultEncryption获取访问KMS的权限（加密备份库）

{
 "Statement": [
 {
  "Action": "ram:DeleteServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
   "StringEquals": {
    "ram:ServiceName": "vaultencryption.hbr.aliyuncs.com"
   }
  }
 },
 {
  "Action": [
  "kms:Decrypt"
  ],
  "Resource": "*",
  "Effect": "Allow"
 }
 ],
 "Version": "1"

}

通过AliyunServiceRoleForHbrOtsBackup获取访问表格存储的权限

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "otsbackup.hbr.aliyuncs.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ots:ListTable",
        "ots:CreateTable",
        "ots:UpdateTable",
        "ots:DescribeTable",
        "ots:BatchWriteRow",
        "ots:CreateTunnel",
        "ots:DeleteTunnel",
        "ots:ListTunnel",
        "ots:DescribeTunnel",
        "ots:ConsumeTunnel",
        "ots:GetRange",
        "ots:ListStream",
        "ots:DescribeStream"
      ],
      "Resource": "*"
    }
  ]
}

通过AliyunServiceRoleForHbrCrossAccountBackup获取跨账号备份权限

{
  "Version": "1",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "crossbackup.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

通过AliyunServiceRoleForHbrEcsEncryption获取访问KMS权限（开启异地复制）

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ecsencryption.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

RAM用户使用服务关联角色需要的权限

如果使用RAM用户创建或删除服务关联角色，必须联系管理员为该RAM用户授予管理员权限（AliyunHBRFullAccess）或在自定义权限策略的Action语句中为RAM用户添加以下权限：

创建服务关联角色：ram:CreateServiceLinkedRole
删除服务关联角色：ram:DeleteServiceLinkedRole

关于授权的详细操作，请参见创建和删除服务关联角色所需的权限。

查看服务关联角色

当服务关联角色创建成功后，您可以在RAM控制台的角色页面，查看该服务关联角色的以下信息：

基本信息
在服务关联角色详情页面的基本信息区域，查看角色基本信息，包括角色名称、创建时间、角色ARN和备注等。
权限策略
在服务关联角色详情页面的权限管理页签，单击权限策略名称，查看权限策略内容以及该角色可授权访问哪些云资源。
信任策略
在服务关联角色详情页的信任策略管理页签，查看信任策略内容。信任策略是描述RAM角色可信实体的策略，可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务，您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色的详细操作，请参见查看RAM角色。

删除服务关联角色

假设您已不再使用ECS备份功能，出于安全考虑，建议您删除该功能所使用的服务关联角色。

重要

删除服务关联角色后，依赖该角色的对应功能将无法正常使用，请谨慎删除。
删除AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup和AliyunServiceRoleForHbrCsgBackup等角色前，请确保当前账号下没有备份仓库，否则删除失败。
删除AliyunServiceRoleForHbrVaultEncryption前，请确保当前账号下没有使用KMS加密的备份仓库，否则删除失败。

例如，删除AliyunServiceRoleForHbrEcsBackup的操作步骤如下：

登录RAM控制台。
在左侧导航栏中选择身份管理>角色。
在角色管理页面的搜索框中，输入AliyunServiceRoleForHbrEcsBackup，自动搜索到名称为AliyunServiceRoleForHbrEcsBackup的RAM角色。
在右侧操作列，单击删除角色。
在删除角色对话框，再次输入角色名称，然后单击删除角色。

具体操作，请参见删除RAM角色。

删除AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup和AliyunServiceRoleForHbrCsgBackup、AliyunServiceRoleForHbrVaultEncryption、AliyunServiceRoleForHbrEcsEncryption等服务关联角色与删除AliyunServiceRoleForHbrEcsBackup服务关联角色步骤类似，仅需替换为对应的RAM角色即可。