如果您的阿里云账号(主账号)不存在服务关联角色AliyunServiceRoleForGaNlb,您在配置网络型负载均衡NLB(Network Load Balancer )为全球加速实例的终端节点时,系统会自动创建服务关联角色AliyunServiceRoleForGaNlb。
AliyunServiceRoleForGaNlb简介
AliyunServiceRoleForGaNlb是全球加速的一种服务关联角色SLR(Service Linked Role),在配置全球加速实例的终端节点时,全球加速需要拥有该服务关联角色才能将网络型负载均衡NLB添加为全球加速实例的终端节点。
服务关联角色是指与某个云服务关联的访问控制(RAM)角色。在某些场景下,为了完成云服务的某个功能,需要获取访问其他云服务的权限。通过服务关联角色,您可以更好地创建云服务正常操作所需的权限,避免误操作带来的风险。更多关于服务关联角色的信息,请参见服务关联角色。
创建服务关联角色AliyunServiceRoleForGaNlb所需的权限
阿里云账号(主账号)默认拥有创建服务关联角色AliyunServiceRoleForGaNlb的权限,RAM用户(子账号)必须拥有以下权限,才可以创建服务关联角色AliyunServiceRoleForGaNlb:
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "nlb.ga.aliyuncs.com"
}
}
}您可以通过以下两种方式为RAM用户(子账号)授予创建AliyunServiceRoleForGaNlb所需的权限:
为RAM用户(子账号)添加管理员权限策略AliyunGlobalAccelerationFullAccess。具体操作,请参见为RAM角色授权。
说明创建全球加速服务关联角色AliyunServiceRoleForGaNlb的权限通常包含在管理员权限策略AliyunGlobalAccelerationFullAccess中,因此只要拥有全球加速的管理员权限,就可以为全球加速创建服务关联角色AliyunServiceRoleForGaNlb。
添加自定义权限策略,并为RAM用户(子账号)授权。自定义权限策略包含以下权限:
{ "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "nlb.ga.aliyuncs.com" } } }
创建服务关联角色AliyunServiceRoleForGaNlb
您在配置网络型负载均衡NLB为全球加速实例的终端节点时,系统会判断全球加速是否拥有服务关联角色AliyunServiceRoleForGaNlb:
如果您的阿里云账号不存在服务关联角色AliyunServiceRoleForGaNlb,系统会自动创建该服务关联角色,并为该服务关联角色添加名称为AliyunServiceRoleForGaNlb的权限策略,授予全球加速拥有访问网络型负载均衡NLB的权限,策略内容如下:
{ "Version": "1" "Statement": [ { "Effect": "Allow", "Action": [ "nlb:GetLoadBalancerAttribute", "nlb:UpdateLoadBalancerProtection" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "nlb.ga.aliyuncs.com" } } } ], }如果您的阿里云账号已经拥有服务关联角色AliyunServiceRoleForGaNlb,则不会重复创建该服务关联角色。
删除服务关联角色AliyunServiceRoleForGaNlb
- 本页导读 (1)