服务关联角色

本文为您介绍网络智能服务 NIS(Network Intelligence Service)的服务关联角色(AliyunServiceRoleForNis)以及如何删除服务关联角色。

背景信息

服务关联角色是指与某个云服务关联的RAM角色。在某些场景下,为了完成云服务的某个功能,需要获取其他云服务的访问权限。通过服务关联角色,您可以更好地创建云服务正常操作所需的权限,避免误操作带来的风险。更多信息,请参见服务关联角色

NIS需要拥有访问ECS实例的相关资源的权限,包括获取云助手命令列表及使用云助手执行命令并获取公共命令结果。只有创建了服务关联角色(AliyunServiceRoleForNis),才能够获取访问权限。

创建服务关联角色

使用NIS时,如果服务关联角色不存在,系统会自动创建一个名称为AliyunServiceRoleForNis的服务关联角色,并且为该角色添加名称为AliyunServiceRolePolicyForNis的权限策略,授予NIS访问ECS实例相关资源的权限,策略内容如下。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:InvokeCommand",
        "ecs:StopInvocation",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeCommands",
        "ecs:DescribeInvocations",
        "ecs:DescribeInvocationResults"
      ],
      "Resource": [
          "acs:ecs:*:*:instance/*",
          "acs:ecs:*:*:command/cmd-ACS-SLB-Diagnosis*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "nis.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色

如果您需要删除AliyunServiceRoleForNis(服务关联角色),请执行以下操作:

  1. 登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 角色

  3. 角色页面,搜索并找到AliyunServiceRoleForNis服务关联角色,然后在操作列单击删除角色

  4. 在弹出的对话框中,输入RAM角色名称,然后单击删除角色

重要

删除AliyunServiceRoleForNis(服务关联角色)后,使用自助诊断功能时会重新创建AliyunServiceRoleForNis(服务关联角色)。

常见问题

为什么我的RAM用户(子账号)无法自动创建服务关联角色(AliyunServiceRoleForNis)?

您需要拥有指定的权限,才能自动创建或删除服务关联角色(AliyunServiceRoleForNis)。因此,在RAM用户无法自动创建服务关联角色(AliyunServiceRoleForNis)时,您需为其添加以下权限策略。具体操作,请参见创建自定义权限策略

{
  "Statement": [
    {
      "Action":"ram:CreateServiceLinkedRole",
                  "Resource":"*",
                  "Effect":"Allow",
                  "Condition":{
                     "StringEquals":{
                        "ram:ServiceName":"nis.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}