本文介绍与SFM有关的服务关联角色有哪些以及如何删除这些角色。
背景信息
在某些场景下,SFM为了完成自身的某个功能,需要获取其他云服务的访问权限,如ADB、OSS、AppFlow等。我们借助阿里云提供的服务关联角色SLR(Service Linked Role)来满足此类场景的需求。SLR是获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息请参见 服务关联角色 。
相关的服务关联角色
当前与SFM相关的SLR:
角色名 | 角色描述 |
用于阿里云百炼-FC调用(SFM-AccessFC)的服务关联角色,SFM-AccessFC使用此角色来访问您在FC中的服务或资源。 | |
用于阿里云百炼-OSS服务(SFM-DataHubOSSImport)的服务关联角色,SFM-DataHubOSSImport使用此角色来访问您在OSS中的资源。 | |
用于阿里云百炼-OSS服务(AliyunServiceRoleForAccessOSS)的服务关联角色,AliyunServiceRoleForAccessOSS使用此角色来访问您在OSS中的资源。 | |
用于阿里云百炼-ADB服务(AliyunServiceRoleForSFMAccessADB)的服务关联角色,AliyunServiceRoleForSFMAccessADB使用此角色来访问您在ADB中的资源。 | |
用于OSS变更自动同步的服务关联角色,百炼数据中心使用此角色来访问您在MNS队列中的OSS变更消息。 | |
用于阿里云百炼-OpenTelemetry服务(AliyunServiceRoleForSFMTelemetry)的服务关联角色,AliyunServiceRoleForSFMTelemetry使用此角色来访问您的OpenTelemetry实例。 |
AliyunServiceRoleForSFMAccessFC
应用场景
SFM的流程编排中,用户拖拽FC(函数计算服务)类型节点,该节点需要访问用户的FC资源,可通过自动创建的SFM-AccessFC服务关联角色AliyunServiceRoleForSFMAccessFC获取访问权限。
角色及权限说明
角色名称:AliyunServiceRoleForSFMAccessFC
角色权限策略:AliyunServiceRolePolicyForSFMAccessFC
权限说明:
{
"Action":[
"fc:ListFunctions",
"fc:InvokeFunction"
],
"Resource":"*",
"Effect":"Allow"
}删除服务关联角色
如果您需要删除AliyunServiceRoleForSFMAccessFC(服务关联角色),需要先在SFM的流程编排中,找到带有函数节点且已发布的实例,将相应的节点删除并发布。
关于删除服务关联角色具体操作,请参见服务关联角色。
删除服务关联角色失败时,可以参考具体返回的错误信息,查看实际关联的流程编排实例有哪些。
AliyunServiceRoleForSFMDataHubOSSImport
应用场景
用于百炼数据中心OSS文件导入的服务关联角色,百炼数据中心数据管理模块使用此角色来访问您在其他云产品中的OSS资源。
角色及权限说明
角色名称:AliyunServiceRoleForSFMDataHubOSSImport
角色权限策略:AliyunServiceRolePolicyForSFMDataHubOSSImport
权限说明:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets",
"oss:GetBucketLocation",
"oss:GetBucketTagging"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oss:DoMetaQuery",
"oss:GetBucketInfo",
"oss:GetBucketStat",
"oss:GetBucketTransferAcceleration",
"oss:GetCnameToken",
"oss:GetMetaQueryStatus",
"oss:GetObject",
"oss:GetObjectTagging",
"oss:DescribeRegions",
"oss:ListObjects",
"oss:ListObjectVersions"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"oss:BucketTag/bailian-datahub-access": [
"read"
]
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "datahub.sfm.aliyuncs.com"
}
}
}
]
}删除服务关联角色
如果您需要删除AliyunServiceRoleForSFMDataHubOSSImport(服务关联角色),需要您确保当前数据中心没有正在进行的OSS导入任务,或者等待当前导入任务结束。
关于删除服务关联角色具体操作,请参见服务关联角色。
AliyunServiceRoleForAccessOSS
应用场景
SFM安全存储空间,用户将数据存在自己的OSS中,SFM安全存储空间需要访问用户自己的OSS资源,可通过自动创建的ossaccess.sfm.aliyuncs.com服务关联角色AliyunServiceRoleForAccessOSS获取访问权限。
角色及权限说明
角色名称:AliyunServiceRoleForAccessOSS
角色权限策略:AliyunServiceRolePolicyForAccessOSS
权限说明:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets",
"oss:GetBucketLocation",
"oss:GetBucketTagging"
],
"Resource": [
"*"
],
"Condition": {}
},
{
"Effect": "Allow",
"Action": [
"oss:DoMetaQuery",
"oss:GetBucketInfo",
"oss:GetBucketStat",
"oss:GetBucketTransferAcceleration",
"oss:GetCnameToken",
"oss:GetMetaQueryStatus",
"oss:GetObject",
"oss:GetObjectTagging",
"oss:DescribeRegions",
"oss:ListObjects",
"oss:ListObjectVersions",
"oss:PutObjectTagging",
"oss:DeleteObject",
"oss:DeleteObjectTagging",
"oss:PutObject"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"oss:BucketTag/bailian-safe-workspace-oss-access": [
"ReadAndWrite"
]
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ossaccess.sfm.aliyuncs.com"
}
}
}
]
}删除服务关联角色
如果您需要删除AliyunServiceRoleForAccessOSS(服务关联角色),需要先在SFM的安全存储空间中,断开安全存储空间的连接,并在数据中心中重新选择平台存储。
关于删除服务关联角色具体操作,请参见服务关联角色。
AliyunServiceRoleForSFMAccessADB
应用场景
SFM安全存储空间,用户将向量数据存在自己的ADB数据库中,SFM安全存储空间需要访问用户自己的ADB数据库,可通过此角色获取访问权限。
角色及权限说明
角色名称:AliyunServiceRoleForSFMAccessADB
角色权限策略:AliyunServiceRolePolicyForSFMAccessADB
权限说明:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"gpdb:DescribeDBInstanceAttribute",
"gpdb:DescribeDBInstances",
"gpdb:CreateVectorManagerAccount",
"gpdb:QueryCollectionData",
"gpdb:UpsertCollectionData",
"gpdb:DeleteVectorIndex",
"gpdb:CreateVectorIndex",
"gpdb:CreateNamespace",
"gpdb:ListNamespaces",
"gpdb:DescribeNamespace",
"gpdb:DeleteNamespace",
"gpdb:ListCollections",
"gpdb:GrantCollection",
"gpdb:DescribeCollection",
"gpdb:DeleteCollectionData",
"gpdb:DeleteCollection",
"gpdb:CreateCollection",
"gpdb:UpdateCollectionDataMetadata"
],
"Resource": "*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "adb-access.sfm.aliyuncs.com"
}
}
}
]
}删除服务关联角色
如果您需要删除AliyunServiceRoleForSFMAccessADB(服务关联角色),需要先在SFM的安全存储空间中,断开安全存储空间的连接,并在数据中心中重新选择平台存储。
关于删除服务关联角色具体操作,请参见服务关联角色。
AliyunServiceRoleForSFMAccessingMNS
应用场景
用于百炼数据中心自动同步OSS中的文档变更,百炼数据中心使用此角色来访问您在MNS队列中的OSS变更消息。授权之后,百炼通过自动创建的AliyunServiceRoleForSFMAccessingMNS和AliyunServiceRolePolicyForSFMAccessingMNS权限策略,来访问您的MNS队列。
角色及权限说明
角色名称:AliyunServiceRoleForSFMAccessingMNS
角色权限策略:AliyunServiceRolePolicyForSFMAccessingMNS
权限说明:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"mns:GetQueueAttributes",
"mns:GetSubscriptionAttributes",
"mns:GetTopicAttributes",
"mns:ListEventNotifications",
"mns:GetAccountAttributes",
"mns:ListEvents",
"mns:ListProducts",
"mns:ListQueue",
"mns:ListSubscriptionByTopic",
"mns:ListTagResources",
"mns:ListTopic",
"mns:ReceiveMessage",
"mns:DeleteMessage"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"mns:CreateQueue",
"mns:DeleteQueue",
"mns:SetQueueAttributes"
],
"Resource": "acs:mns:*:*:/queues/bailian-oss-event*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "mns-access.sfm.aliyuncs.com"
}
}
}
]
}删除服务关联角色
如果您需要删除AliyunServiceRoleForSFMAccessingMNS(服务关联角色),需要您确保当前数据中心已经删除了所有配置的自动同步规则。
关于删除服务关联角色具体操作,请参见服务关联角色。
AliyunServiceRoleForSFMTelemetry
应用场景
用于百炼应用观测的服务关联角色,百炼应用观测使用此角色来访问您的OpenTelemetry实例。
角色及权限说明
角色名称:AliyunServiceRoleForSFMTelemetry
角色权限策略:AliyunServiceRolePolicyForSFMTelemetry
权限说明:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:Get*",
"log:List*",
"log:Query*"
],
"Resource": [
"acs:log:*:*:project/proj-xtrace-*",
"acs:log:*:*:project/proj-xtrace-*/logstore/logstore-tracing",
"acs:log:*:*:project/proj-xtrace-*/logstore/logstore-tracing/*"
]
},
{
"Effect": "Allow",
"Action": [
"arms:Describe*",
"arms:List*",
"arms:Get*",
"arms:Search*",
"arms:Check*",
"arms:Query*",
"arms:InitTraceResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"xtrace:Read*",
"xtrace:Get*",
"xtrace:Describe*",
"xtrace:Check*",
"xtrace:OpenXtraceService"
],
"Resource": "*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "telemetry.sfm.aliyuncs.com"
}
}
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"arms.aliyuncs.com",
"xtrace.aliyuncs.com",
"cloudmonitor.aliyuncs.com"
]
}
}
}
]
}删除服务关联角色
本策略由大模型服务平台百炼定义并使用,请勿修改、删除,或将其授予除服务关联角色之外的任何RAM身份。