本文介绍与SFM有关的服务关联角色有哪些以及如何删除这些角色。
背景信息
在某些场景下,SFM为了完成自身的某个功能,需要获取其他云服务的访问权限,如ADB、OSS、AppFlow等。我们借助阿里云提供的服务关联角色SLR(Service Linked Role)来满足此类场景的需求。SLR是获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息请参见 服务关联角色 。
相关的服务关联角色
当前与SFM相关的SLR:
角色名 | 角色描述 |
用于阿里云百炼-FC调用(SFM-AccessFC)的服务关联角色,SFM-AccessFC使用此角色来访问您在FC中的服务或资源。 | |
用于阿里云百炼-OSS服务(SFM-DataHubOSSImport)的服务关联角色,SFM-DataHubOSSImport使用此角色来访问您在OSS中的资源。 | |
用于阿里云百炼-OSS服务(AliyunServiceRoleForAccessOSS)的服务关联角色,AliyunServiceRoleForAccessOSS使用此角色来访问您在OSS中的资源。 | |
用于阿里云百炼-ADB服务(AliyunServiceRoleForSFMAccessADB)的服务关联角色,AliyunServiceRoleForSFMAccessADB使用此角色来访问您在ADB中的资源。 |
AliyunServiceRoleForSFMAccessFC
应用场景
SFM的流程编排中,用户拖拽FC(函数计算服务)类型节点,该节点需要访问用户的FC资源,可通过自动创建的SFM-AccessFC服务关联角色AliyunServiceRoleForSFMAccessFC获取访问权限。
角色及权限说明
角色名称:AliyunServiceRoleForSFMAccessFC
角色权限策略:AliyunServiceRolePolicyForSFMAccessFC
权限说明:
{
"Action":[
"fc:ListFunctions",
"fc:InvokeFunction"
],
"Resource":"*",
"Effect":"Allow"
}
删除服务关联角色
如果您需要删除AliyunServiceRoleForSFMAccessFC(服务关联角色),需要先在SFM的流程编排中,找到带有函数节点且已发布的实例,将相应的节点删除并发布。
关于删除服务关联角色具体操作,请参见服务关联角色。
删除服务关联角色失败时,可以参考具体返回的错误信息,查看实际关联的流程编排实例有哪些,如下图
AliyunServiceRoleForSFMDataHubOSSImport
应用场景
用于百炼数据中心OSS文件导入的服务关联角色,百炼数据中心数据管理模块使用此角色来访问您在其他云产品中的OSS资源。
角色及权限说明
角色名称:AliyunServiceRoleForSFMDataHubOSSImport
角色权限策略:AliyunServiceRolePolicyForSFMDataHubOSSImport
权限说明:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets",
"oss:GetBucketLocation",
"oss:GetBucketTagging"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oss:DoMetaQuery",
"oss:GetBucketInfo",
"oss:GetBucketStat",
"oss:GetBucketTransferAcceleration",
"oss:GetCnameToken",
"oss:GetMetaQueryStatus",
"oss:GetObject",
"oss:GetObjectTagging",
"oss:DescribeRegions",
"oss:ListObjects",
"oss:ListObjectVersions"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"oss:BucketTag/bailian-datahub-access": [
"read"
]
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "datahub.sfm.aliyuncs.com"
}
}
}
]
}
删除服务关联角色
如果您需要删除AliyunServiceRoleForSFMDataHubOSSImport(服务关联角色),需要您确保当前数据中心没有正在进行的OSS导入任务,或者等待当前导入任务结束。
关于删除服务关联角色具体操作,请参见服务关联角色。
AliyunServiceRoleForAccessOSS
应用场景
SFM安全存储空间,用户将数据存在自己的OSS中,SFM安全存储空间需要访问用户自己的OSS资源,可通过自动创建的ossaccess.sfm.aliyuncs.com服务关联角色AliyunServiceRoleForAccessOSS获取访问权限。
角色及权限说明
角色名称:AliyunServiceRoleForAccessOSS
角色权限策略:AliyunServiceRolePolicyForAccessOSS
权限说明:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets",
"oss:GetBucketLocation",
"oss:GetBucketTagging"
],
"Resource": [
"*"
],
"Condition": {}
},
{
"Effect": "Allow",
"Action": [
"oss:DoMetaQuery",
"oss:GetBucketInfo",
"oss:GetBucketStat",
"oss:GetBucketTransferAcceleration",
"oss:GetCnameToken",
"oss:GetMetaQueryStatus",
"oss:GetObject",
"oss:GetObjectTagging",
"oss:DescribeRegions",
"oss:ListObjects",
"oss:ListObjectVersions",
"oss:PutObjectTagging",
"oss:DeleteObject",
"oss:DeleteObjectTagging",
"oss:PutObject"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"oss:BucketTag/bailian-safe-workspace-oss-access": [
"ReadAndWrite"
]
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ossaccess.sfm.aliyuncs.com"
}
}
}
]
}
删除服务关联角色
如果您需要删除AliyunServiceRoleForAccessOSS(服务关联角色),需要先在SFM的安全存储空间中,断开安全存储空间的连接,并在数据中心中重新选择平台存储。
关于删除服务关联角色具体操作,请参见服务关联角色。
AliyunServiceRoleForSFMAccessADB
应用场景
SFM安全存储空间,用户将向量数据存在自己的ADB数据库中,SFM安全存储空间需要访问用户自己的ADB数据库,可通过此角色获取访问权限。
角色及权限说明
角色名称:AliyunServiceRoleForSFMAccessADB
角色权限策略:AliyunServiceRolePolicyForSFMAccessADB
权限说明:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"gpdb:DescribeDBInstanceAttribute",
"gpdb:DescribeDBInstances",
"gpdb:CreateVectorManagerAccount",
"gpdb:QueryCollectionData",
"gpdb:UpsertCollectionData",
"gpdb:DeleteVectorIndex",
"gpdb:CreateVectorIndex",
"gpdb:CreateNamespace",
"gpdb:ListNamespaces",
"gpdb:DescribeNamespace",
"gpdb:DeleteNamespace",
"gpdb:ListCollections",
"gpdb:GrantCollection",
"gpdb:DescribeCollection",
"gpdb:DeleteCollectionData",
"gpdb:DeleteCollection",
"gpdb:CreateCollection",
"gpdb:UpdateCollectionDataMetadata"
],
"Resource": "*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "adb-access.sfm.aliyuncs.com"
}
}
}
]
}
删除服务关联角色
如果您需要删除AliyunServiceRoleForSFMAccessADB(服务关联角色),需要先在SFM的安全存储空间中,断开安全存储空间的连接,并在数据中心中重新选择平台存储。
关于删除服务关联角色具体操作,请参见服务关联角色。