创建、查看和删除NAS服务关联角色-文件存储NAS(NAS)-阿里云帮助中心

工作原理

服务关联角色是一种可信实体为阿里云服务的访问控制（RAM）角色。NAS 使用服务关联角色代替您访问其他云服务或云资源，免去手动配置访问权限的步骤。

通常情况下，NAS 在您执行相关操作时自动创建所需角色。若自动创建失败，或 NAS 不支持为该角色自动创建，则需要手动创建。

每个服务关联角色对应一个由RAM管理的系统权限策略，该策略不支持修改。如需查看具体内容，可在RAM控制台进入该角色的详情页面查看。

说明

关于服务关联角色的更多信息，请参见服务关联角色。

应用场景

NAS 根据您使用的功能自动创建对应的服务关联角色：

角色	创建时机	访问的云服务
AliyunServiceRoleForNasStandard	为通用型 NAS 文件系统创建经典网络类型挂载点时	云服务器 ECS（查询资源列表，实现鉴权逻辑）
AliyunServiceRoleForNasExtreme	为极速型 NAS 文件系统创建挂载点时	专有网络VPC和云服务器 ECS
AliyunServiceRoleForNasEncryption	创建密钥管理服务（KMS）加密的文件系统时	密钥管理服务 KMS（获取密钥信息并添加标签，防止误删除）
AliyunServiceRoleForNasLogDelivery	启用 NAS 日志分析功能时	日志服务 SLS（创建 Project 和 Logstore，转储日志数据）
AliyunServiceRoleForNasBackup	为通用型文件系统启用文件备份功能时	云备份 HBR（开通服务并创建备份计划）
AliyunServiceRoleForNasEcsHandler	在 NAS 控制台使用一键挂载功能时	ECS 云助手（在ECS实例上执行挂载、卸载及状态查询命令）

更多服务关联角色的信息，请参见服务关联角色。

权限说明

NAS 服务关联角色的权限内容如下：

AliyunServiceRoleForNasStandard

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasExtreme

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasEncryption

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasLogDelivery

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasBackup

{
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}

AliyunServiceRoleForNasEcsHandler

{
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}

RAM 用户使用服务关联角色需要的权限

RAM 用户默认没有创建或删除服务关联角色的权限。如需授权，联系管理员为该RAM用户授予 AliyunNASFullAccess 权限，或在自定义权限策略的 Action 语句中添加以下权限：

创建服务关联角色：ram:CreateServiceLinkedRole
删除服务关联角色：ram:DeleteServiceLinkedRole

关于授权的详细操作，请参见管理服务关联角色所需的权限。

查看服务关联角色

在RAM 控制台的角色页面，搜索服务关联角色名称（例如 AliyunServiceRoleForNasStandard），进入角色详情页面可查看以下信息：

基本信息

在基本信息区域，查看角色名称、创建时间、角色 ARN 和备注等。

权限策略

在权限管理页签，单击权限策略名称，查看策略内容及该角色可访问的云资源范围。

信任策略

在信任策略页签，查看信任策略内容。信任策略定义了哪些实体可以扮演该角色。服务关联角色的可信实体为阿里云服务，可通过策略中的 Service 字段确认。

关于如何查看服务关联角色的详细操作，请参见查看RAM角色。

删除服务关联角色

当某项功能不再使用时，可删除对应的服务关联角色。例如，不再需要创建 KMS 加密文件系统时，可删除 AliyunServiceRoleForNasEncryption。删除前，须先删除该角色关联的文件系统实例。具体操作，请参见删除文件系统和删除服务关联角色。

重要

删除服务关联角色后，依赖该角色的对应功能将无法正常使用，请谨慎操作。

常见问题

为什么我的RAM用户无法自动创建 NAS 服务关联角色？

RAM 用户默认缺少创建服务关联角色的权限。为该RAM用户附加以下权限策略即可解决。将 主账号ID 替换为实际的阿里云账号（主账号）ID。具体操作，请参见创建自定义权限策略。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}