备案控制台
文档
产品文档
输入文档关键字查找
首页 弹性高性能计算 安全合规 使用RAM进行访问控制 E-HPC普通服务角色

E-HPC普通服务角色

更新时间:
一键部署
提交缺陷
产品详情
相关技术圈
我的收藏

使用E-HPC时,必须创建普通服务角色AliyunECSInstanceForEHPCRole并授权AliyunECSInstanceForEHPCRolePolicy,本文介绍如何创建、查看和删除AliyunECSInstanceForEHPCRole。

功能概述

普通服务角色(Service Role)是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。更多信息,请参见RAM角色概览

使用E-HPC时,系统提供的普通服务角色及其包含的系统权限策略如下:

  • 普通服务角色:AliyunECSInstanceForEHPCRole

  • 系统权限策略:AliyunECSInstanceForEHPCRolePolicy

应用场景

AliyunECSInstanceForEHPCRole用于授权E-HPC集群中的节点(即ECS实例)访问其他云资源。通过AliyunECSInstanceForEHPCRole,ECS实例可以获得云服务器ECS、弹性高性能计算E-HPC的访问权限。

RAM用户使用普通服务角色需要的权限

如果使用RAM用户创建或删除普通服务角色,必须使用阿里云账号为该RAM用户授权。

  • 方式一:授予AliyunEHPCFullAccess权限策略,该权限策略包含了创建和删除AliyunECSInstanceForEHPCRole的权限。

  • 方式二:在自定义权限策略的Action语句中为RAM用户添加以下权限:

    • 创建普通服务角色:ram:CreateRole

    • 删除普通服务角色:ram:DeleteRole

创建普通服务角色

在您使用E-HPC时,系统会检查当前账号是否已有AliyunECSInstanceForEHPCRole,如果不存在则会弹出提示,在您确认提示信息后系统会自动创建AliyunECSInstanceForEHPCRole,同时为其创建和授权AliyunECSInstanceForEHPCRolePolicy。

AliyunECSInstanceForEHPCRole包含系统权限策略AliyunECSInstanceForEHPCRolePolicy,您无法修改系统权限策略的内容,但可以为其新增其他权限策略。

展开查看AliyunECSInstanceForEHPCRolePolicy权限内容

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:StartInstances",
                "ecs:StopInstances",
                "ecs:DeleteInstances",
                "ecs:DescribeInstances",
                "cms:QueryMetricLast",
                "cms:QueryMetricList",
                "ess:DescribeScalingConfigurations",
                "ess:ModifyScalingConfiguration",
                "ess:ModifyScalingRule",
                "ess:ExecuteScalingRule",
                "ess:RemoveInstances",
                "oss:PutObject",
                "oss:GetObject",
                "oss:ListObjects",
                "oss:ListBuckets",
                "ehpc:*",
                "ecs:CreateCommand",
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:DescribeCommands",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:ListSecurityGroups",
                "ecs:AuthorizeSecurityGroup"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

查看普通服务角色

当普通服务角色创建成功后,您可以在RAM控制台的角色页面,通过搜索AliyunECSInstanceForEHPCRole查看角色详情。

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。

  • 信任策略

    在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。普通服务角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看普通服务角色的详细操作,请参见查看RAM角色

删除普通服务角色

重要

删除普通服务角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。

当您长时间不使用E-HPC时,您可以在RAM控制台手动删除普通服务角色。具体操作,请参见删除RAM角色

删除AliyunECSInstanceForEHPCRoleC前,您需要满足以下条件:

  • 确定不再需要使用该普通服务角色,例如不需要创建集群、管理集群节点等。

  • 已删除依赖该普通服务角色的E-HPC集群。具体操作,请参见释放集群

文档推荐
  • 本页导读 (1)
文档反馈