本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文为您介绍在资源目录中为管理账号和成员自动创建的RAM角色。
总览
资源目录管理账号和成员内自动创建的RAM角色如下表所示。
账号类型 | RAM角色名称 | RAM角色类型 |
管理账号 | 服务关联角色 | |
成员 | 服务关联角色 | |
可信实体为阿里云账号的RAM角色 | ||
服务关联角色 |
AliyunServiceRoleForResourceDirectory
应用场景
服务关联角色(AliyunServiceRoleForResourceDirectory)用于为资源目录可信服务提供访问通道。资源目录服务通过该服务关联角色为可信服务创建服务关联角色,使其可以获取其他云服务的访问权限。关于服务关联角色的更多信息,请参见服务关联角色。
权限策略
名称:AliyunServiceRolePolicyForResourceDirectory
内容:
{
"Version": "1",
"Statement": [
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}
]
}信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"resourcemanager.aliyuncs.com"
]
}
}
],
"Version": "1"
}创建角色
系统会在以下场景中自动创建服务关联角色(AliyunServiceRoleForResourceDirectory):
资源目录开通成功后,在管理账号内创建该服务关联角色。
成员创建成功后,在成员内创建该服务关联角色。
被邀请账号成功加入资源目录后,在被邀请账号内创建该服务关联角色。
删除角色
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。
系统会在以下场景中尝试自动删除服务关联角色(AliyunServiceRoleForResourceDirectory):
关闭资源目录时,系统将自动删除管理账号内的该服务关联角色。
从资源目录中移除成员时,系统将自动删除成员内的该服务关联角色。
当服务关联角色(AliyunServiceRoleForResourceDirectory)没有被任何云资源使用时,您也可以手动删除该服务关联角色。具体操作,请参见删除RAM角色。
ResourceDirectoryAccountAccessRole
应用场景
RAM角色(ResourceDirectoryAccountAccessRole)用于资源目录管理员登入成员进行相关管理操作,该角色中的可信实体为资源目录管理账号。
权限策略
名称:AdministratorAccess
内容:
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "1"
}信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::151266687691****:root" //151266687691****为管理账号ID。
]
}
}
],
"Version": "1"
}创建角色
系统会在以下场景中自动在成员内创建RAM角色(ResourceDirectoryAccountAccessRole):
成员创建成功后,在成员内创建该RAM角色。
被邀请账号成功加入资源目录后,在被邀请账号内创建该RAM角色。
删除角色
删除RAM角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。
从资源目录中移除成员时,系统将自动删除成员内的RAM角色(ResourceDirectoryAccountAccessRole)。
当RAM角色(ResourceDirectoryAccountAccessRole)下没有任何授权时,您也可以手动删除该服务关联角色。具体操作,请参见删除RAM角色。
AliyunServiceRoleFor***
应用场景
服务关联角色(AliyunServiceRoleFor***)用于可信服务执行预定任务,解决可信服务与资源目录之间的跨服务访问问题。关于服务关联角色的更多信息,请参见服务关联角色。
AliyunServiceRoleFor***中的***表示可信服务,例如:配置审计的服务关联角色AliyunServiceRoleForConfig。
权限策略
权限策略由可信服务制定,一般包含以下两类权限:
可信服务执行预定任务所需的云服务操作权限。
可信服务删除该服务关联角色的权限。
信任策略
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"***.aliyuncs.com" //***表示可信服务,例如:config.aliyuncs.com。
]
}
}
],
"Version": "1"
}创建角色
启用某个可信服务时,资源目录通过服务关联角色(AliyunServiceRoleForResourceDirectory)在成员中创建服务关联角色(AliyunServiceRoleFor***)。
删除角色
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请慎重删除。
从资源目录移除成员时,资源目录会广播该消息给可信服务,可信服务会自主决定是否自动删除服务关联角色(AliyunServiceRoleFor***)。一般情况下,可信服务会自动删除该服务关联角色。但某种特定情况下可能不会自动删除,此时,您可以登入成员,尝试手动删除该服务关联角色。具体操作,请参见删除RAM角色。