文档

SFM服务关联角色

更新时间:

本文介绍与SFM有关的服务关联角色有哪些以及如何删除这些角色。

背景信息

在某些场景下,SFM为了完成自身的某个功能,需要获取其他云服务的访问权限,如ADB、OSS、AppFlow等。我们借助阿里云提供的服务关联角色SLR(Service Linked Role)来满足此类场景的需求。SLR是获取其他云服务的访问权限而提供的RAM角色。更多关于服务关联角色的信息请参见 服务关联角色

相关的服务关联角色

当前与SFM相关的SLR:

角色名

角色描述

AliyunServiceRoleForSFMAccessFC

用于阿里云百炼-FC调用(SFM-AccessFC)的服务关联角色,SFM-AccessFC使用此角色来访问您在FC中的服务或资源。

AliyunServiceRoleForSFMDataHubOSSImport

用于阿里云百炼-OSS服务(SFM-DataHubOSSImport)的服务关联角色,SFM-DataHubOSSImport使用此角色来访问您在OSS中的资源。

AliyunServiceRoleForAccessOSS

用于阿里云百炼-OSS服务(AliyunServiceRoleForAccessOSS)的服务关联角色,AliyunServiceRoleForAccessOSS使用此角色来访问您在OSS中的资源。

AliyunServiceRoleForSFMAccessADB

用于阿里云百炼-ADB服务(AliyunServiceRoleForSFMAccessADB)的服务关联角色,AliyunServiceRoleForSFMAccessADB使用此角色来访问您在ADB中的资源。

AliyunServiceRoleForSFMAccessFC

应用场景

SFM的流程编排中,用户拖拽FC(函数计算服务)类型节点,该节点需要访问用户的FC资源,可通过自动创建的SFM-AccessFC服务关联角色AliyunServiceRoleForSFMAccessFC获取访问权限。

角色及权限说明

角色名称:AliyunServiceRoleForSFMAccessFC

角色权限策略:AliyunServiceRolePolicyForSFMAccessFC

权限说明:

{
    "Action":[
        "fc:ListFunctions",
        "fc:InvokeFunction"
    ],
    "Resource":"*",
  	"Effect":"Allow"
}

删除服务关联角色

如果您需要删除AliyunServiceRoleForSFMAccessFC(服务关联角色),需要先在SFM的流程编排中,找到带有函数节点且已发布的实例,将相应的节点删除并发布。

  • 关于删除服务关联角色具体操作,请参见服务关联角色

  • 删除服务关联角色失败时,可以参考具体返回的错误信息,查看实际关联的流程编排实例有哪些,如下图

image

AliyunServiceRoleForSFMDataHubOSSImport

应用场景

用于百炼数据中心OSS文件导入的服务关联角色,百炼数据中心数据管理模块使用此角色来访问您在其他云产品中的OSS资源。

角色及权限说明

角色名称:AliyunServiceRoleForSFMDataHubOSSImport

角色权限策略:AliyunServiceRolePolicyForSFMDataHubOSSImport

权限说明:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:ListBuckets",
        "oss:GetBucketLocation",
        "oss:GetBucketTagging"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oss:DoMetaQuery",
        "oss:GetBucketInfo",
        "oss:GetBucketStat",
        "oss:GetBucketTransferAcceleration",
        "oss:GetCnameToken",
        "oss:GetMetaQueryStatus",
        "oss:GetObject",
        "oss:GetObjectTagging",
        "oss:DescribeRegions",
        "oss:ListObjects",
        "oss:ListObjectVersions"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "oss:BucketTag/bailian-datahub-access": [
            "read"
          ]
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "datahub.sfm.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色

如果您需要删除AliyunServiceRoleForSFMDataHubOSSImport(服务关联角色),需要您确保当前数据中心没有正在进行的OSS导入任务,或者等待当前导入任务结束。

关于删除服务关联角色具体操作,请参见服务关联角色

AliyunServiceRoleForAccessOSS

应用场景

SFM安全存储空间,用户将数据存在自己的OSS中,SFM安全存储空间需要访问用户自己的OSS资源,可通过自动创建的ossaccess.sfm.aliyuncs.com服务关联角色AliyunServiceRoleForAccessOSS获取访问权限。

角色及权限说明

角色名称:AliyunServiceRoleForAccessOSS

角色权限策略:AliyunServiceRolePolicyForAccessOSS

权限说明:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:ListBuckets",
        "oss:GetBucketLocation",
        "oss:GetBucketTagging"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": [
        "oss:DoMetaQuery",
        "oss:GetBucketInfo",
        "oss:GetBucketStat",
        "oss:GetBucketTransferAcceleration",
        "oss:GetCnameToken",
        "oss:GetMetaQueryStatus",
        "oss:GetObject",
        "oss:GetObjectTagging",
        "oss:DescribeRegions",
        "oss:ListObjects",
        "oss:ListObjectVersions",
        "oss:PutObjectTagging",
        "oss:DeleteObject",
        "oss:DeleteObjectTagging",
        "oss:PutObject"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "oss:BucketTag/bailian-safe-workspace-oss-access": [
            "ReadAndWrite"
          ]
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ossaccess.sfm.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色

如果您需要删除AliyunServiceRoleForAccessOSS(服务关联角色),需要先在SFM的安全存储空间中,断开安全存储空间的连接,并在数据中心中重新选择平台存储。

关于删除服务关联角色具体操作,请参见服务关联角色

AliyunServiceRoleForSFMAccessADB

应用场景

SFM安全存储空间,用户将向量数据存在自己的ADB数据库中,SFM安全存储空间需要访问用户自己的ADB数据库,可通过此角色获取访问权限。

角色及权限说明

角色名称:AliyunServiceRoleForSFMAccessADB

角色权限策略:AliyunServiceRolePolicyForSFMAccessADB

权限说明:

 {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "gpdb:DescribeDBInstanceAttribute",
        "gpdb:DescribeDBInstances",
        "gpdb:CreateVectorManagerAccount",
        "gpdb:QueryCollectionData",
        "gpdb:UpsertCollectionData",
        "gpdb:DeleteVectorIndex",
        "gpdb:CreateVectorIndex",
        "gpdb:CreateNamespace",
        "gpdb:ListNamespaces",
        "gpdb:DescribeNamespace",
        "gpdb:DeleteNamespace",
        "gpdb:ListCollections",
        "gpdb:GrantCollection",
        "gpdb:DescribeCollection",
        "gpdb:DeleteCollectionData",
        "gpdb:DeleteCollection",
        "gpdb:CreateCollection",
        "gpdb:UpdateCollectionDataMetadata"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "adb-access.sfm.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色

如果您需要删除AliyunServiceRoleForSFMAccessADB(服务关联角色),需要先在SFM的安全存储空间中,断开安全存储空间的连接,并在数据中心中重新选择平台存储。

关于删除服务关联角色具体操作,请参见服务关联角色