服务关联角色及权限

什么是服务关联角色

在某些场景下，一个云服务为了完成自身的某个功能，需要获取其他云服务的访问权限。阿里云提供了服务关联角色SLR（Service Linked Role）来满足此类场景的需求。如为了能够定时检测用户账号下的云资源健康状态，需要服务关联角色来代替用户进行资源的查询、访问云监控/日志服务等进行健康状态的检测。

更多服务关联角色的介绍请参见服务关联角色。

健康状态涉及的服务关联角色

健康状态定时检测资源可用性信息需要AliyunServiceRoleForHealth服务关联角色，对应的角色权限策略AliyunServiceRolePolicyForHealth。首次使用需要用户授权创建该服务关联角色。健康状态检测不消耗您账户下的资源。

诊断涉及的服务关联角色

「网站无法访问」诊断

「网站无法访问」诊断使用了网络智能服务的能力，用于网络资源实例的诊断。需要AliyunServiceRoleForNis服务关联角色，对应角色权限策略AliyunServiceRolePolicyForNis。

探测资源关系构建网络拓扑使用了资源管理的能力，需要AliyunServiceRoleForResourceMetaCenter服务关联角色，对应角色权限策略AliyunServiceRolePolicyForResourceMetaCenter。

发起「网站无法访问」诊断时若未创建以上服务关联角色，系统会提示用户进行创建，创建后即可发起诊断。

注：暂不支持子账号和STS账号发起「网络无法访问」诊断。

「网络与CDN」相关诊断

「网络与CDN」分类下相关诊断如负载均衡、弹性公网IP、VPN等产品诊断使用了网络智能服务的能力，需要AliyunServiceRoleForNis服务关联角色，对应角色权限策略AliyunServiceRolePolicyForNis。

发起「网络与CDN」相关诊断时若未创建以上服务关联角色，系统会提示用户进行创建，创建后即可发起诊断。

注：暂不支持子账号和STS账号发起「网络与CDN」相关诊断。

创建服务关联角色

当用户首次使用到上述功能需要创建服务关联角色时，系统会自动弹出提示并由用户主动确认即可创建相应的服务关联角色，无需单独设置或创建。

使用云服务诊断功能时，同一个账号下，一个服务关联角色只需创建一次。即任意主账号或子账号创建了该服务关联角色，则该账号下其他主账号或子账号无需再创建。

注：由主账号创建服务关联角色更加简单方便，子账号创建服务关联角色还需要主账号授权子账号创建角色的权限，具体参见相应的页面提示。

删除服务关联角色

删除云服务诊断需要使用的服务关联角色会影响您正常使用云服务诊断，同时服务关联角色可能用于其他功能，请谨慎操作。具体的删除操作步骤如下。

主账号登录RAM控制台，在左侧导航栏中单击身份管理-角色。

在角色管理页面的搜索框中，输入对应的服务关联角色，搜索到目标RAM角色。

在右侧操作栏，单击删除角色。

在删除角色对话框，二次输入角色名称并确认删除角色。

恢复服务关联角色

若删除服务关联角色后仍需使用云服务诊断，系统会提示您需要创建服务关联角色，根据提示重新创建即可。

只读及管理权限

RAM子账号访问云服务诊断需要管理员授予相关的权限。

云服务诊断管理权限：AliyunHealthFullAccess。拥有管理权限才能发起诊断、删除诊断任务等增删改操作，管理权限包含只读权限，拥有管理权限后无需再授权只读权限。

云服务诊断只读权限：AliyunHealthReadOnlyAccess。拥有只读权限仅可查看云资源健康状态、诊断任务列表及诊断任务详情，不可发起诊断、删除诊断任务等增删改操作。

子账号无权限时，系统会进行提示，根据页面提示完成相应权限的授权即可继续使用。