完成购买后,在首次使用数据库审计服务前,您需要先完成允许数据库审计服务访问云资源的授权,允许数据库审计服务在为用户创建和存储用户日志服务SLS的原始日志时,获取其他云服务的访问权限。本文介绍如何为数据库审计服务进行云资源授权、以及如何删除服务关联角色。
前提条件
已购买数据库审计实例。具体操作,请参见购买数据库审计实例。
应用场景
数据库审计功能需要访问日志服务SLS、专有网络VPC云服务或安全组的资源时,阿里云会自动创建数据库审计服务关联角色AliyunServiceRoleForDbaudit,授权数据库审计服务访问其他关联的云服务。
开通访问云资源的授权
登录数据库审计控制台。
在欢迎使用数据库审计对话框,单击确认创建。。
完成授权操作后,阿里云将自动为您创建数据库审计服务关联角色AliyunServiceRoleForDbaudit。只有创建服务关联角色AliyunServiceRoleForDbaudit后,您的数据库审计实例才能访问日志服务SLS、专有网络VPC等云服务的资源。
查看服务关联角色
服务关联角色(AliyunServiceRoleForDbaudit)创建成功后,您可以在RAM控制台查看该角色,包括角色的基本信息、角色的信任策略和角色的权限策略(AliyunServiceRoleForDbaudit)。
登录RAM控制台。
在左侧导航栏,选择。
在角色页面的搜索框中,输入AliyunServiceRoleForDbaudit,单击角色名称AliyunServiceRoleForDbaudit。
查看角色的基本信息。
在角色详情页面的基本信息区域,查看RAM角色名称、创建时间和ARN等信息。
查看角色的信任策略。
在角色详情页面,单击信任策略页签,通过Service字段查看可以使用该角色的云服务
Service": ["dbaudit.aliyuncs.com"]。查看角色的权限策略(AliyunServiceRoleForDbaudit)。
在角色详情页面,单击权限管理页签。
单击权限策略名称AliyunServiceRolePolicyForDbaudit。
在策略内容页签,查看权限策略具体内容。
说明不支持在RAM的权限策略列表中直接查看服务关联角色的权限策略。
删除AliyunServiceRoleForDbaudit
如果您使用了数据库审计功能,并且需要删除数据库审计服务关联角色AliyunServiceRoleForDbaudit,请先释放已有的数据库审计实例,在无数据库审计实例的情况下进行删除。以下介绍删除AliyunServiceRoleForDbaudit的具体操作。
登录RAM控制台。
在左侧导航栏,选择。
在角色页面的搜索框中,输入AliyunServiceRoleForDbaudit。
系统会自动搜索到名称为AliyunServiceRoleForDbaudit的服务关联角色。
在该角色的操作列,单击删除角色。
在删除RAM角色对话框,输入角色名称确认删除操作,单击确定。
常见问题
为什么RAM用户无法自动创建数据库审计服务关联角色AliyunServiceRoleForDbaudit?
RAM用户需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForDbaudit。因此,在RAM用户无法自动创建AliyunServiceRoleForDbaudit时,您需为其添加以下权限策略。具体操作,请参见为RAM用户授权。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:阿里云账号ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"dbaudit.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}相关文档
更多关于服务关联角色的信息,请参见服务关联角色。