服务关联角色及权限
本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文主要介绍云服务诊断在使用过程中涉及到的服务关联角色、关联服务、只读及管理权限。如需更多帮助请查看云服务诊断目录下其他帮助文档。
什么是服务关联角色
在某些场景下,一个云服务为了完成自身的某个功能,需要获取其他云服务的访问权限。阿里云提供了服务关联角色SLR(Service Linked Role)来满足此类场景的需求。如为了能够定时检测用户账号下的云资源健康状态,需要服务关联角色来代替用户进行资源的查询、访问云监控/日志服务等进行健康状态的检测。
更多服务关联角色的介绍请参见服务关联角色。
云服务诊断涉及以下服务关联角色:
角色名称 | 角色权限策略 | 角色权限说明 | 详细说明 |
AliyunServiceRoleForHealth | AliyunServcieRolePolicyForHealth | 允许云服务诊断访问您的云资源及诊断接口,以便更新健康状态和发起诊断 | 云服务诊断的服务关联角色,开通服务时将自动创建角色,删除角色将关闭服务 |
AliyunServiceRoleForResourceMetaCenter | AliyunServiceRolePolicyForResourceMetaCenter | 允许资源中心访问您的云资源,以便提供资源列表及搜索等服务 | 可参考资源中心服务关联角色 |
AliyunServiceRoleForNis | AliyunServiceRolePolicyForNis | 用于负载均衡、EIP、VPN等资源诊断及网络连通性诊断 | 可参考服务关联角色 |
创建服务关联角色
当用户首次使用云服务诊断时,系统会自动弹出提示并由用户确认即可创建相应的服务关联角色,无需单独设置或创建。
使用云服务诊断功能时,同一个账号下,一个服务关联角色只需创建一次。即任意主账号或子账号创建了该服务关联角色,则该账号下其他主账号或子账号无需再创建。
注:由主账号创建服务关联角色更加简单方便,子账号创建服务关联角色还需要主账号授权子账号创建角色的权限,当子账号无相应权限时系统会有提示,子账号可根据提示向管理员申请权限。
删除服务关联角色
删除云服务诊断依赖的服务关联角色会影响您正常使用云服务诊断,同时服务关联角色可能用于其他产品或功能,请谨慎操作。具体的操作步骤如下。
主账号登录RAM控制台,在左侧导航栏中单击身份管理-角色。
在角色管理页面的搜索框中,输入对应的服务关联角色,搜索到目标角色。
在右侧操作栏,单击删除角色。
在删除角色对话框,二次输入角色名称并确认即可删除角色。
删除AliyunServiceRoleForHealth会被认定为关闭云服务诊断,将删除您所有的健康状态记录和所有的诊断记录,且不可找回。请谨慎操作。
恢复服务关联角色
若删除AliyunServiceRoleForHealth后仍需使用云服务诊断,系统会提示您重新开通,确认开通即可自动创建。
未删除AliyunServiceRoleForHealth但删除其他依赖的服务关联角色,会影响部分功能的使用。当您再次使用到相关功能时,系统会自动创建所需的服务关联角色。
关联服务
云服务诊断在某些场景下,需依赖阿里云的其他服务共同实现某项功能。
云服务诊断涉及以下关联服务:
服务名称 | 服务说明 | 费用说明 | 详细说明 |
资源中心 | 提供跨账号、跨产品、跨地域的资源统一视图及资源搜索能力 | 资源中心为免费服务,不收取任何费用 | 可参考什么是资源中心 |
网络智能服务 | 提供网络实例诊断及网络路径连通性诊断能力 | 公测期间免费使用,若有变更需要您的重新确认 | 可参考什么是网络智能服务 |
资源中心提供资源查询及展示能力,是云服务诊断的前置依赖,若用户没有开通资源中心将无法正常使用云服务诊断。在云服务诊断开通时将同步开通资源中心。
使用以下诊断工具时依赖「网络智能服务」:
「网络与CDN」分类下相关诊断如负载均衡、弹性公网IP、VPN等诊断
网站无法访问诊断
网络路径连通性诊断
在使用依赖关联服务的相关功能时,若用户未开通关联服务,系统将提示用户先开通关联服务,开通后可继续使用相关功能。
只读及管理权限
RAM子账号访问云服务诊断需要管理员授予相关的权限。
云服务诊断管理权限:AliyunHealthFullAccess。拥有管理权限才能发起诊断、删除诊断任务等增删改操作,管理权限包含只读权限,拥有管理权限后无需再授权只读权限。
云服务诊断只读权限:AliyunHealthReadOnlyAccess。拥有只读权限仅可查看云资源健康状态、诊断任务列表及诊断任务详情,不可发起诊断、删除诊断任务等增删改操作。
子账号无权限时,系统会进行提示,根据页面提示完成相应权限的授权即可继续使用。