云SSO服务关联角色

应用场景

服务关联角色（AliyunServiceRoleForCloudSSO）具有操作RAM角色、RAM用户、权限策略和服务提供商等的权限，方便云SSO进行RD统一权限配置。

关于服务关联角色的更多信息，请参见服务关联角色。

创建服务关联角色

服务关联角色（AliyunServiceRoleForCloudSSO）会在以下场景中自动创建：

• 创建目录时，会在RD管理账号内自动创建该服务关联角色。
• 在云SSO中，为RD成员首次授权访问配置时，会在该RD成员内自动创建该服务关联角色。
• 在云SSO中，为RD成员首次配置RAM用户同步时，会在该RD成员内自动创建该服务关联角色。

查看服务关联角色

当服务关联角色（AliyunServiceRoleForCloudSSO）创建成功后，您可以在RAM控制台查看该角色。包括角色基本信息、角色的信任策略和角色的权限策略（AliyunServiceRolePolicyForCloudSSO）。

1. 登录RAM控制台。
2. 在左侧导航栏，选择身份管理 > 角色。
3. 在角色页面，单击AliyunServiceRoleForCloudSSO。
4. 查看角色的基本信息。
   在角色详情页面的基本信息区域，查看RAM角色名称、创建时间和ARN等信息。
5. 查看角色的信任策略。
   在角色详情页面，单击信任策略管理页签，通过Service字段查看可以使用该角色的云服务。例如："Service": ["cloudsso.aliyuncs.com"]。
6. 查看角色的权限策略（AliyunServiceRolePolicyForCloudSSO）。
   1. 在角色详情页面，单击权限管理页签。
   2. 单击权限策略名称AliyunServiceRolePolicyForCloudSSO。
   3. 在策略内容页签，查看权限策略具体内容。
   说明 不支持在RAM的权限策略列表中直接查看服务关联角色的权限策略。

删除服务关联角色

删除服务关联角色（AliyunServiceRoleForCloudSSO）存在以下两种情况：

• 删除RD管理账号中的服务关联角色

  当您删除云SSO目录后，您可以在RAM控制台手动删除服务关联角色（AliyunServiceRoleForCloudSSO）。具体操作，请参见删除RAM角色。

• 删除RD成员中的服务关联角色

  当RD成员退出资源目录时，系统会自动删除该RD成员的服务关联角色（AliyunServiceRoleForCloudSSO）。