如果用户的阿里云账号(主账号)下不存在服务关联角色AliyunServiceRoleForGaWaf,在为全球加速实例开启WAF防护时,系统会自动创建该角色。
AliyunServiceRoleForGaWaf简介
AliyunServiceRoleForGaWaf是全球加速的一种服务关联角色SLR(Service Linked Role)。全球加速需要拥有该角色来为实例开启WAF防护。
服务关联角色是指与某个云服务关联的访问控制(RAM)角色。在某些场景下,为了完成云服务的某个功能,需要获取访问其他云服务的权限。通过服务关联角色,用户可以更好地管理云服务正常操作所需的权限,避免误操作带来的风险。参考服务关联角色。
创建服务关联角色AliyunServiceRoleForGaWaf所需的权限
阿里云账号(主账号)默认拥有创建服务关联角色AliyunServiceRoleForGaWaf的权限,RAM用户(子账号)必须拥有以下权限,才可以创建该角色:
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "waf.ga.aliyuncs.com"
}
}
}用户可通过以下两种方式为RAM用户(子账号)授予创建AliyunServiceRoleForGaWaf所需的权限:
为RAM用户(子账号)添加全球加速管理员权限策略
AliyunGlobalAccelerationFullAccess。参考为RAM角色授权。创建全球加速服务关联角色
AliyunServiceRoleForGaWaf的权限包含在全球加速管理员权限策略AliyunGlobalAccelerationFullAccess中,因此只要拥有该管理员权限,就可以为全球加速创建服务关联角色AliyunServiceRoleForGaWaf。添加自定义权限策略,并为RAM用户(子账号)授权。自定义权限策略包含以下权限:
{ "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "waf.ga.aliyuncs.com" } } }
创建服务关联角色AliyunServiceRoleForGaWaf
用户在为全球加速实例开启WAF防护时,系统会判断全球加速是否拥有服务关联角色AliyunServiceRoleForGaWaf:
如果全球加速没有服务关联角色
AliyunServiceRoleForGaWaf,系统会自动创建该角色,并为其添加名为AliyunServiceRolePolicyForGaWaf的权限策略,授予全球加速访问Web应用防火墙WAF的权限,策略内容如下:{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "yundun-waf:DescribeInstanceCompatible", "yundun-waf:CreateInstance" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "waf.ga.aliyuncs.com" } } } ] }如果全球加速已经拥有服务关联角色
AliyunServiceRoleForGaWaf,则不会重复创建该角色。
删除服务关联角色AliyunServiceRoleForGaWaf
系统不会自动删除全球加速的服务关联角色AliyunServiceRoleForGaWaf,如果用户需要删除该服务关联角色,请先关闭全球加速实例的WAF防护,然后再进行删除。
该文章对您有帮助吗?