AI 助理
备案控制台
文档
输入文档关键字查找
首页 密钥管理服务 密钥管理服务KMS 安全合规 访问控制 使用RAM进行访问控制 服务关联角色

服务关联角色

更新时间:
产品详情
我的收藏

服务关联角色是一种可信实体为阿里云服务的RAM角色。KMS使用服务关联角色获取其他云服务或云资源的访问权限。通常情况下,服务关联角色是在您执行某项操作时,由系统自动创建。在自动创建服务关联角色失败时,您需要手动创建服务关联角色。

应用场景

KMS会在以下场景中,为您自动创建服务关联角色并进行授权:

  • 场景一:启用KMS实例时

    KMS会自动创建服务关联角色AliyunServiceRoleForKMSKeyStore,用于允许KMS访问ECS、VPC、日志服务等服务。该服务关联角色会自动授权权限策略AliyunServiceRolePolicyForKMSKeyStore

  • 场景二:创建ECS凭据时

    KMS会自动创建服务关联角色AliyunServiceRoleForKMSSecretsManagerForECS,用于允许KMS访问ECS,以管理并轮转ECS凭据。该服务关联角色会自动授权权限策略AliyunServiceRolePolicyForKMSSecretsManagerForECS

  • 场景三:创建RDS凭据时

    KMS会自动创建服务关联角色AliyunServiceRoleForKMSSecretsManagerForRDS,用于允许KMS访问RDS,以管理并轮转RDS凭据。该服务关联角色会自动授权权限策略AliyunServiceRolePolicyForKMSSecretsManagerForRDS

  • 场景四:创建Redis凭据时

    KMS会自动创建服务关联角色AliyunServiceRoleForKMSSecretsManagerForRedis,用于允许KMS访问Redis,以管理并轮转Redis凭据。该服务关联角色会自动授权权限策略AliyunServiceRoleForKMSSecretsManagerForRedis

RAM用户使用服务关联角色需要的权限

如果使用RAM用户创建或删除服务关联角色,必须联系管理员为该RAM用户授予管理员权限(AliyunKMSFullAccess)或在自定义权限策略的Action语句中为RAM用户添加以下权限:

  • 创建服务关联角色:ram:CreateServiceLinkedRole

  • 删除服务关联角色:ram:DeleteServiceLinkedRole

{
    "Action": [
        "ram:CreateServiceLinkedRole",
        "ram:DeleteServiceLinkedRole"
    ],
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
             "ram:ServiceName": [
                        "keystore.kms.aliyuncs.com",
                        "secretsmanager-ecs.kms.aliyuncs.com",
                        "secretsmanager-rds.kms.aliyuncs.com",
                        "secretsmanager-redis.kms.aliyuncs.com"
                    ]
        }
     }
}

关于授权的详细操作,请参见创建和删除服务关联角色所需的权限为RAM用户授权

创建服务关联角色

系统会在以下场景中自动创建服务关联角色:

  • AliyunServiceRoleForKMSKeyStore:启用KMS实例时。

  • AliyunServiceRoleForKMSSecretsManagerForECS:创建ECS凭据时。

  • AliyunServiceRoleForKMSSecretsManagerForRDS:创建RDS凭据时。

  • AliyunServiceRoleForKMSSecretsManagerForRedis:创建Redis凭据时。

重要

服务关联角色创建成功后,受信云服务可以通过角色扮演的方式跨服务访问对应云资源,可能会因创建KMS实例、使用日志服务而产生资费,请您知悉。

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面,通过搜索角色ID(以AliyunServiceRoleForKMSKeyStore为例)查看该服务关联角色的以下信息:

  • 基本信息

    AliyunServiceRoleForKMSKeyStore角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    AliyunServiceRoleForKMSKeyStore角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。

  • 信任策略

    AliyunServiceRoleForKMSKeyStore角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色的详细操作,请参见查看RAM角色

删除服务关联角色

重要

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。

当账号下没有任何KMS的资源时,系统会自动删除服务关联角色,无需您执行任何操作。

当您长时间不使用KMS时,您可以在RAM控制台手动删除服务关联角色。

删除前,您需要满足以下条件:账号下的所有实例已被释放。

具体操作,请参见删除RAM角色

上一篇:普通服务角色下一篇:条件键
文档推荐