文档

文件存储NAS服务关联角色

更新时间:

为了完成NAS文件系统的某个功能,NAS将自动创建NAS服务关联角色获取访问云服务器ECS、专有网络VPC等云服务的权限。

背景信息

服务关联角色是一种可信实体为阿里云服务的RAM角色。文件存储NAS使用服务关联角色获取其他云服务或云资源的访问权限。

通常情况下,服务关联角色是在您执行某项操作时,由系统自动创建。在自动创建服务关联角色失败或文件存储NAS不支持自动创建时,您需要手动创建服务关联角色。

阿里云访问控制为每个服务关联角色提供了一个系统权限策略,该策略不支持修改。如果您想了解该系统策略的具体内容,可前往指定服务关联角色的详情页面查看。

说明

关于服务关联角色的更多信息,请参见服务关联角色

应用场景

NAS服务关联角色的应用场景如下:

  • AliyunServiceRoleForNasStandard

    创建通用型NAS文件系统的经典网络类型挂载点时,需要通过AliyunServiceRoleForNasStandard角色访问您的云服务器ECS服务,获取资源列表实现鉴权逻辑。

  • AliyunServiceRoleForNasExtreme

    极速型NAS文件系统创建挂载点时,需要通过AliyunServiceRoleForNasExtreme角色访问您的专有网络VPC服务与云服务器ECS服务。

  • AliyunServiceRoleForNasEncryption

    创建用户管理密钥(KMS)加密的文件系统时,需要通过AliyunServiceRoleForNasEncryption角色访问密钥管理服务KMS,获取您托管给密钥管理服务KMS的密钥信息,并为您选择的密钥添加标签,防止您误删除密钥导致文件系统不可用。

  • AliyunServiceRoleForNasLogDelivery

    使用NAS日志分析功能时,需要通过AliyunServiceRoleForNasLogDelivery角色访问日志服务SLS,并在您的日志服务中创建Project和Logstore,将NAS中存储的日志数据转储至Logstore中。

  • AliyunServiceRoleForNasBackup

    在创建通用型文件系统时,若要使用文件备份功能,需要通过AliyunServiceRoleForNasBackup角色开通云备份服务并创建备份计划。

  • AliyunServiceRoleForNasEcsHandler

    当您在NAS控制台使用一键挂载功能挂载文件系统时,需要通过AliyunServiceRoleForNasEcsHandler角色访问ECS云助手,并使用ECS云助手为一台或多台ECS实例触发一条云助手命令,实现挂载、卸载文件系统及查询ECS挂载状态。

更多服务关联角色的信息,请参见服务关联角色

权限说明

NAS服务关联角色的权限内容如下:

AliyunServiceRoleForNasStandard

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}
 

AliyunServiceRoleForNasExtreme

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}
 

AliyunServiceRoleForNasEncryption

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}
 

AliyunServiceRoleForNasLogDelivery

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}
 

AliyunServiceRoleForNasBackup

{
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}
 

AliyunServiceRoleForNasEcsHandler

{
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}
 

RAM用户使用服务关联角色需要的权限

如果使用RAM用户创建或删除服务关联角色,必须联系管理员为该RAM用户授予管理员权限(AliyunNASFullAccess)或在自定义权限策略的Action语句中为RAM用户添加以下权限:

  • 创建服务关联角色:ram:CreateServiceLinkedRole

  • 删除服务关联角色:ram:DeleteServiceLinkedRole

关于授权的详细操作,请参见创建和删除服务关联角色所需的权限

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面,通过搜索服务关联角色名称(例如,AliyunServiceRoleForNasStandard)查看该服务关联角色的以下信息:

  • 基本信息

    在AliyunServiceRoleForNasStandard角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在AliyunServiceRoleForNasStandard角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。

  • 信任策略

    在AliyunServiceRoleForNasStandard角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色的详细操作,请参见查看RAM角色

删除服务关联角色

如果您暂时不需要使用NAS服务关联角色,例如不需要创建用户管理密钥(KMS)加密的文件系统时,可以删除NAS服务关联角色。删除时,请先删除该角色关联的文件系统实例。具体操作,请参见删除文件系统删除服务关联角色

重要

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。

常见问题

为什么我的RAM用户无法自动创建NAS服务关联角色?

只有拥有指定权限的RAM用户,才能自动创建或删除文件存储NAS服务关联角色。当RAM用户无法自动创建文件存储NAS服务关联角色时,需要为RAM用户添加以下权限策略。使用时请将主账号ID替换为实际的阿里云账号(主账号)ID。具体操作,请参见创建自定义权限策略

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}