文档

服务关联角色及权限

更新时间:
一键部署

本文主要介绍云服务诊断在使用过程中涉及到的云产品对应需要创建的服务关联角色。如需更多帮助请查看云服务诊断目录下其他帮助文档。

什么是服务关联角色

在某些场景下,一个云服务为了完成自身的某个功能,需要获取其他云服务的访问权限。阿里云提供了服务关联角色SLR(Service Linked Role)来满足此类场景的需求。如为了能够定时检测用户账号下的云资源健康状态,需要服务关联角色来代替用户进行资源的查询、访问云监控/日志服务等进行健康状态的检测。

更多服务关联角色的介绍请参见服务关联角色

健康状态涉及的服务关联角色

健康状态定时检测资源可用性信息需要AliyunServiceRoleForHealth服务关联角色,对应的角色权限策略AliyunServiceRolePolicyForHealth。首次使用需要用户授权创建该服务关联角色。健康状态检测不消耗您账户下的资源。

说明

主账号授予RAM子账号AliyunHealthFullAccess权限后,子账号才能创建该服务关联角色。主账号创建服务关联角色后子账号无需再创建,但子账号需要有AliyunHealthFullAccessAliyunHealthReadOnlyAccess权限才可访问健康状态。

重要

为了提供更优质的服务,健康状态进行了系统升级。自2024年10月16日起,健康状态所需的服务关联角色由AliyunServiceRoleForAdvisor改为AliyunServiceRoleForHealth。2024年10月16日前已开通健康状态的用户需再创建AliyunServiceRoleForHealth服务关联角色(可根据界面提示一键操作),创建后可支持查看更多产品的健康状态。2024年12月31日24:00:00之前未创建AliyunServiceRoleForHealth服务关联角色的仍可使用,但无法展示2024年9月16日之后新支持的产品。若2024年12月31日24:00:00之后仍未开通AliyunServiceRoleForHealth服务关联角色,将无法继续使用健康状态功能,您可根据界面提示重新开通后使用)。给您带来的不便敬请谅解!系统升级后可加快云产品的上线,更好的服务用户。已支持的云产品详见健康状态支持产品及说明。若要删除原服务关联角色AliyunServiceRoleForAdvisor,可参考删除服务关联角色

诊断涉及的服务关联角色

「网站无法访问」诊断

「网站无法访问」诊断使用了网络智能服务的能力,用于网络资源实例的诊断。需要AliyunServiceRoleForNis服务关联角色,对应角色权限策略AliyunServiceRolePolicyForNis

探测资源关系构建网络拓扑使用了资源管理的能力,需要AliyunServiceRoleForResourceMetaCenter服务关联角色,对应角色权限策略AliyunServiceRolePolicyForResourceMetaCenter

发起「网站无法访问」诊断时若未创建以上服务关联角色,系统会提示用户进行创建,创建后即可发起诊断。

注:暂不支持子账号和STS账号发起「网络无法访问」诊断。

「网络与CDN」相关诊断

「网络与CDN」分类下相关诊断如负载均衡、弹性公网IP、VPN等产品诊断使用了网络智能服务的能力,需要AliyunServiceRoleForNis服务关联角色,对应角色权限策略AliyunServiceRolePolicyForNis

发起「网络与CDN」相关诊断时若未创建以上服务关联角色,系统会提示用户进行创建,创建后即可发起诊断。

注:暂不支持子账号和STS账号发起「网络与CDN」相关诊断。

创建服务关联角色

当用户首次使用到上述功能需要创建服务关联角色时,系统会自动弹出提示并由用户主动确认即可创建相应的服务关联角色,无需单独设置或创建。

使用云服务诊断功能时,同一个账号下,一个服务关联角色只需创建一次。即任意主账号或子账号创建了该服务关联角色,则该账号下其他主账号或子账号无需再创建。

注:由主账号创建服务关联角色更加简单方便,子账号创建服务关联角色还需要主账号授权子账号创建角色的权限,具体参见相应的页面提示。

删除服务关联角色

删除云服务诊断需要使用的服务关联角色会影响您正常使用云服务诊断,同时服务关联角色可能用于其他功能,请谨慎操作。具体的删除操作步骤如下。

主账号登录RAM控制台,在左侧导航栏中单击身份管理-角色。

在角色管理页面的搜索框中,输入对应的服务关联角色,搜索到目标RAM角色。

在右侧操作栏,单击删除角色。

在删除角色对话框,二次输入角色名称并确认删除角色。

image

恢复服务关联角色

若删除服务关联角色后仍需使用云服务诊断,系统会提示您需要创建服务关联角色,根据提示重新创建即可。

只读及管理权限

RAM子账号访问云服务诊断需要管理员授予相关的权限。

云服务诊断管理权限:AliyunHealthFullAccess。拥有管理权限才能发起诊断、删除诊断任务等增删改操作,管理权限包含只读权限,拥有管理权限后无需再授权只读权限。

云服务诊断只读权限:AliyunHealthReadOnlyAccess。拥有只读权限仅可查看云资源健康状态、诊断任务列表及诊断任务详情,不可发起诊断、删除诊断任务等增删改操作。

子账号无权限时,系统会进行提示,根据页面提示完成相应权限的授权即可继续使用。

重要

为了提供更安全的服务,云服务诊断进行了系统升级。自2024年10月8日起,RAM子账号访问云服务诊断需要上述权限,请联系管理员授权。