文档

ram用户使用实例费用及安全行为审计诊断服务

更新时间:

云服务器ECS的自助问题排查功能可以帮助用户诊断多种云服务器问题。在部分诊断功能发起诊断任务前,需要为云服务器ECS获取访问相关云资源的权限。本文介绍如何创建、查看和删除AliyunServiceRoleForECSSelfService。

功能概述

服务关联角色SLR(Service-linked role)是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。更多信息,请参见服务关联角色

目前实例诊断功能中,需要拥有实例自助问题排查服务关联角色的功能只有实例费用及安全行为审计。即在使用实例费用及安全行为审计诊断服务时,需要关联角色AliyunServiceRoleForECSSelfService去查询ActionTrail来获取用户的历史操作行为审计信息。系统提供的服务关联角色及其包含的系统权限策略如下:

  • 服务关联角色:AliyunServiceRoleForECSSelfService

  • 系统权限策略:AliyunServiceRolePolicyForECSSelfService

RAM用户使用AliyunServiceRoleForECSSelfService需要的权限

如果您使用RAM用户进行实例费用及安全行为审计诊断,需先联系阿里云账号授权RAM用户拥有创建关联角色的权限。具体操作,请参见通过脚本编辑模式创建自定义权限策略为RAM用户授权

阿里云账号授权RAM用户使用实例自助问题排查功能的权限策略内容如下。其中,<account ID>是变量,需替换为阿里云账号的UID。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:<account ID>:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "selfservice.ecs.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

创建AliyunServiceRoleForECSSelfService

在您使用实例费用及安全行为审计诊断功能时,系统会检查当前账号是否已有AliyunServiceRoleForECSSelfService,如果不存在则会弹出提示,在您确认提示信息后系统会自动创建AliyunServiceRoleForECSSelfService。

AliyunServiceRoleForECSSelfService包含系统权限策略AliyunServiceRolePolicyForECSSelfService,您无法添加、修改或删除权限。

展开查看AliyunServiceRolePolicyForECSSelfService权限内容

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:DescribeInstances",
        "ecs:CreateSnapshot",
        "ecs:DescribeSnapshots",
        "ecs:DeleteSnapshot",
        "ecs:DescribeDisks",
        "ecs:DescribeDisksFullStatus",
        "ecs:ResetDisk",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeInvocations",
        "ecs:RunCommand",
        "ecs:CreateDiagnosticReport",
        "oos:StartExecution",
        "oos:ListExecutions",
        "oos:ListExecutionLogs",
        "oos:ListTaskExecutions",
        "oos:CancelExecution",
        "actiontrail:LookupEvents"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "selfservice.ecs.aliyuncs.com"
        }
      }
    }
  ]
}

查看AliyunServiceRoleForECSSelfService

当服务关联角色创建成功后,您可以在RAM控制台的角色页面,通过搜索AliyunServiceRoleForECSSelfService查看角色详情。

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。

  • 信任策略

    在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色的详细操作,请参见查看RAM角色

删除AliyunServiceRoleForECSSelfService

重要

删除AliyunServiceRoleForECSSelfService后,实例费用及安全行为审计诊断功能将无法正常使用,请谨慎删除。

如果您不再需要使用AliyunServiceRoleForECSSelfService角色时,可以手动删除。具体操作,请参见删除服务关联角色