文档

资源目录中的RAM角色

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

本文为您介绍在资源目录中为管理账号和成员自动创建的RAM角色。

总览

资源目录管理账号和成员内自动创建的RAM角色如下表所示。

账号类型

RAM角色名称

RAM角色类型

管理账号

AliyunServiceRoleForResourceDirectory

服务关联角色

成员

AliyunServiceRoleForResourceDirectory

服务关联角色

ResourceDirectoryAccountAccessRole

可信实体为阿里云账号的RAM角色

AliyunServiceRoleFor***

服务关联角色

AliyunServiceRoleForResourceDirectory

应用场景

服务关联角色(AliyunServiceRoleForResourceDirectory)用于为资源目录可信服务提供访问通道。资源目录服务通过该服务关联角色为可信服务创建服务关联角色,使其可以获取其他云服务的访问权限。关于服务关联角色的更多信息,请参见服务关联角色

权限策略

名称:AliyunServiceRolePolicyForResourceDirectory

内容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "resourcemanager.aliyuncs.com"
                }
            }
        }
    ]
}

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resourcemanager.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

创建角色

系统会在以下场景中自动创建服务关联角色(AliyunServiceRoleForResourceDirectory):

  • 资源目录开通成功后,在管理账号内创建该服务关联角色。

  • 成员创建成功后,在成员内创建该服务关联角色。

  • 被邀请账号成功加入资源目录后,在被邀请账号内创建该服务关联角色。

删除角色

警告

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。

系统会在以下场景中尝试自动删除服务关联角色(AliyunServiceRoleForResourceDirectory):

  • 关闭资源目录时,系统将自动删除管理账号内的该服务关联角色。

  • 从资源目录中移除成员时,系统将自动删除成员内的该服务关联角色。

当服务关联角色(AliyunServiceRoleForResourceDirectory)没有被任何云资源使用时,您也可以手动删除该服务关联角色。具体操作,请参见删除RAM角色

ResourceDirectoryAccountAccessRole

应用场景

RAM角色(ResourceDirectoryAccountAccessRole)用于资源目录管理员登入成员进行相关管理操作,该角色中的可信实体为资源目录管理账号。

权限策略

名称:AdministratorAccess

内容:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::151266687691****:root"  //151266687691****为管理账号ID。
        ]
      }
    }
  ],
  "Version": "1"
}

创建角色

系统会在以下场景中自动在成员内创建RAM角色(ResourceDirectoryAccountAccessRole):

  • 成员创建成功后,在成员内创建该RAM角色。

  • 被邀请账号成功加入资源目录后,在被邀请账号内创建该RAM角色。

删除角色

警告

删除RAM角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。

从资源目录中移除成员时,系统将自动删除成员内的RAM角色(ResourceDirectoryAccountAccessRole)。

当RAM角色(ResourceDirectoryAccountAccessRole)下没有任何授权时,您也可以手动删除该服务关联角色。具体操作,请参见删除RAM角色

AliyunServiceRoleFor***

应用场景

服务关联角色(AliyunServiceRoleFor***)用于可信服务执行预定任务,解决可信服务与资源目录之间的跨服务访问问题。关于服务关联角色的更多信息,请参见服务关联角色

说明

AliyunServiceRoleFor***中的***表示可信服务,例如:配置审计的服务关联角色AliyunServiceRoleForConfig。

权限策略

权限策略由可信服务制定,一般包含以下两类权限:

  • 可信服务执行预定任务所需的云服务操作权限。

  • 可信服务删除该服务关联角色的权限。

信任策略

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "***.aliyuncs.com"  //***表示可信服务,例如:config.aliyuncs.com。
        ]
      }
    }
  ],
  "Version": "1"
}

创建角色

启用某个可信服务时,资源目录通过服务关联角色(AliyunServiceRoleForResourceDirectory)在成员中创建服务关联角色(AliyunServiceRoleFor***)。

删除角色

警告

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。

从资源目录移除成员时,资源目录会广播该消息给可信服务,可信服务会自主决定是否自动删除服务关联角色(AliyunServiceRoleFor***)。一般情况下,可信服务会自动删除该服务关联角色。但某种特定情况下可能不会自动删除,此时,您可以登入成员,尝试手动删除该服务关联角色。具体操作,请参见删除RAM角色