服务关联角色是一种可信实体为阿里云服务的RAM角色。RPA使用服务关联角色获取其他云服务或云资源的访问权限。
通常情况下,服务关联角色是在您执行某项操作时,由系统自动创建。在自动创建服务关联角色失败RPA不支持自动创建时,您需要手动创建服务关联角色。
应用场景
RPA会在以下场景中,为您自动创建服务关联角色 AliyunServiceRoleForRPA :
在使用阿里云IDaaS云身份服务创建RPA成员账号时,RPA会自动创建服务关联角色AliyunServiceRoleForRPA,用于允许RPA访问IDaaS资源。
在RPA内调用阿里云文字识别服务时,RPA会自动创建服务关联角色AliyunServiceRoleForRPA,用于允许RPA访问OCR资源。
在RPA内管控阿里云无影云电脑时,RPA会自动创建服务关联角色AliyunServiceRoleForRPA,用于允许RPA访问无影资源。
AliyunServiceRoleForRPA使用的系统权限参考如下:
AliyunServiceRoleForRPA使用的系统权限会不定期更新,最新版本内容可在该服务关联角色创建后查看 RAM控制台的角色页面 或在 权限策略 中查询。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eiam:CreateApplication",
"eiam:DeleteApplication",
"eiam:SetApplicationSsoConfig",
"eiam:GetApplicationSsoConfig",
"eiam:ListApplicationClientSecrets",
"eiam:ObtainApplicationClientSecret",
"eiam:EnableApplicationApiInvoke",
"eiam:SetApplicationProvisioningScope",
"eiam:SetApplicationGrantScope",
"eiam:ListInstances",
"eiam:ListApplications",
"eiam:UpdateApplicationAuthorizationType",
"eiam:EnableApplicationProvisioning",
"eiam:SetApplicationProvisioningConfig",
"eiam:GetApplicationProvisioningConfig",
"eiam:AuthorizeApplicationToOrganizationalUnits"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ocr:RecognizeAdvanced",
"ocr:RecognizeHandwriting",
"ocr:RecognizeTableOcr",
"ocr:RecognizeBasic",
"ocr:RecognizeGeneral",
"ocr:RecognizeDocumentStructure",
"ocr:RecognizeIdcard",
"ocr:RecognizeBankCard",
"ocr:RecognizeMixedInvoices",
"ocr:RecognizeInvoice",
"ocr:RecognizeQuotaInvoice",
"ocr:RecognizeAirItinerary",
"ocr:RecognizeTrainInvoice",
"ocr:RecognizeTaxiInvoice",
"ocr:RecognizeRollTicket",
"ocr:RecognizeRideHailingItinerary",
"ocr:RecognizeCarVinCode",
"ocr:RecognizeCarNumber",
"ocr:RecognizeDrivingLicense",
"ocr:RecognizeVehicleLicense"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecd:DescribeUsers",
"ecd:DescribeBundles",
"ecd:DescribePolicyGroups",
"ecd:StopDesktops",
"ecd:DeleteDesktops",
"ecd:CreateDesktops",
"ecd:RunCommand",
"ecd:ModifyEntitlement",
"ecd:ModifyUserEntitlement",
"ecd:DescribeRegions",
"ecd:ListOfficeSiteOverview",
"ecd:DescribeDesktops",
"ecd:StartDesktops",
"ecd:RebootDesktops",
"ecd:GetConnectionTicket",
"ecd:GetAuthCode",
"ecd:DescribeInvocations"
],
"Resource": "*"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "gws.aliyuncs.com"
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "rpa.aliyuncs.com"
}
}
}
]
}创建服务关联角色
系统会在以下场景中自动创建服务关联角色:
使用阿里云IDaaS云身份服务创建RPA成员账号
在RPA内调用阿里云文字识别服务
在RPA内管控阿里云无影云电脑
查看服务关联角色
当服务关联角色创建成功后,您可以在RAM控制台的角色页面,通过搜索AliyunServiceRoleForRPA查看该服务关联角色的以下信息:
基本信息
在AliyunServiceRoleForRPA角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在AliyunServiceRoleForRPA角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。
信任策略
在AliyunServiceRoleForRPA角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service字段查看。
关于如何查看服务关联角色的详细操作,请参见查看RAM角色。
删除服务关联角色
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。
当您长时间不使用 AliyunServiceRoleForRPA 时,您可以在RAM控制台手动删除服务关联角色。
删除前,您需要满足以下条件:
确保您账号下没有使用阿里云IDaaS云身份作为成员管理的账号体系;
确保您账号下没有在流程中调用阿里云文字识别服务;
确保您账号下没有使用RPA服务型机器人。
具体操作,请参见删除RAM角色。