产品解决方案文档与社区权益中心定价云市场合作伙伴支持与服务了解阿里云
备案控制台登录/注册
首页 负载均衡 安全合规 使用阿里云访问控制RAM 使用服务关联角色

使用服务关联角色

更新时间: 2023-09-25 15:30:09

使用负载均衡访问其他云资源时,负载均衡会在获得您的授权后,创建一个对应的服务关联角色,用于允许负载均衡访问其他云资源。本文为您分别介绍ALB、NLB和CLB产品的服务关联角色。

多数情况下,在您使用特定功能时,关联的云服务会在您的授权下自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好地配置云服务正常操作所必需的权限,避免误操作带来的风险。

重要

服务关联角色会占用您的RAM角色配额。当RAM角色数量超限时,您仍然可以成功创建服务关联角色,但无法创建其他类型的角色。关于RAM角色支持的数量,请参见使用限制

子产品

服务关联角色

作用

ALB

AliyunServiceRoleForAlb

允许ALB服务访问您的弹性网卡、安全组、弹性公网IP(Elastic IP Address,简称EIP)和共享带宽包等服务。

AliyunServiceRoleForAlbLogDelivery

允许阿里云ALB访问您的日志服务SLS。

AliyunServiceRoleForAlbClone

允许ALB-CloneCLB使用此角色来访问您在其他云产品中的资源。

NLB

AliyunServiceRoleForNlb

允许NLB服务访问您在其他云产品中的资源,例如,云服务器ECS(Elastic Compute Service)、专有网络VPC(Virtual Private Cloud)、弹性网卡ENI(Elastic Network Interface)、弹性公网IP(Elastic IP Address,简称EIP)、共享带宽包等服务资源。

CLB

AliyunServiceRoleForSlbLogDelivery

允许CLB服务访问您的日志服务(SLS)和OSS服务。

AliyunServiceRoleForSlbHealthDiagnose

允许CLB服务访问您的ECS服务。

ALB服务关联角色

AliyunServiceRoleForAlb

项目

说明

角色名称

AliyunServiceRoleForAlb

角色权限策略

AliyunServiceRolePolicyForAlb

权限说明

允许ALB服务访问您的弹性网卡、安全组、弹性公网IP(Elastic IP Address,简称EIP)和共享带宽包等服务。

ALB的创建、删除和变配等功能需要通过云服务器ECS(Elastic Compute Service)和专有网络VPC(Virtual Private Cloud)等云产品来实现。

授权策略

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:AuthorizeSecurityGroup",
                "vpc:RemoveCommonBandwidthPackageIp",
                "vpc:AddCommonBandwidthPackageIp",
                "vpc:DeleteCommonBandwidthPackage",
                "vpc:CreateCommonBandwidthPackage",
                "vpc:DescribeCommonBandwidthPackages",
                "vpc:ModifyCommonBandwidthPackageSpec",
                "vpc:ModifyCommonBandwidthPackageChargeType",
                "vpc:ReleaseEipAddress",
                "vpc:AllocateEipAddress",
                "vpc:AssociateEipAddress",
                "vpc:UnassociateEipAddress",
                "vpc:DescribeEipAddresses",
                "vpc:ModifyEipAddressAttribute",
                "vpc:DeleteIpv6InternetBandwidth",
                "vpc:AllocateIpv6InternetBandwidth",
                "vpc:DescribeIpv6Addresses",
                "vpc:DescribeIpv6Gateways",
                "vpc:MoveResourceGroup",
                "vpc:TagResources",
                "cas:DescribeCACertificate",
                "yundun-waf:DescribeInstanceCompatible",
                "yundun-waf:CreateInstance",
                "eipanycast:AllocateAnycastEipAddress",
                "eipanycast:ModifyAnycastEipAddressAttribute",
                "eipanycast:ReleaseAnycastEipAddress",
                "eipanycast:AssociateAnycastEipAddress",
                "eipanycast:UnassociateAnycastEipAddress",
                "eipanycast:DescribeAnycastEipAddress",
                "eipanycast:ListAnycastEipAddresses"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "alb.aliyuncs.com"
                }
            }
        },
        {
            "Action": [
                "oss:GetBucketInfo",
                "oss:PutObject",
                "oss:GetObject",
                "oss:PutBucket",
                "oss:PutBucketVersioning",
                "oss:GetBucketVersioning",
                "oss:GetObjectVersion",
                "oss:PutBucketCors"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:oss:*:*:alb-res-backup-*",
                "acs:oss:*:*:alb-res-backup-*/*"
            ]
        }
    ]
}

删除服务关联角色条件

如果您要删除ALB服务关联角色AliyunServiceRoleForAlb,例如不需要创建和管理ALB资源等,可以删除ALB所使用的服务关联角色AliyunServiceRoleForAlb。删除AliyunServiceRoleForAlb时,需先确保当前账号下没有ALB实例。

AliyunServiceRoleForAlbLogDelivery

项目

说明

角色名称

AliyunServiceRoleForAlbLogDelivery

角色权限策略

AliyunServiceRolePolicyForAlbLogDelivery

权限说明

允许阿里云ALB访问您的日志服务SLS。

启用实例的访问日志,ALB会将底层采集到的日志传送到用户指定的日志库(LogStore)。

授权策略

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:PostLogStoreLogs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "logdelivery.alb.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色条件

如果您要删除ALB服务关联角色AliyunServiceRoleForAlbLogDelivery,需先关闭该实例的访问日志功能。具体操作,请参见DisableLoadBalancerAccessLog

AliyunServiceRoleForAlbClone

项目

说明

角色名称

AliyunServiceRoleForALbClone

角色权限策略

AliyunServiceRolePolicyForALbClone

权限说明

用于应用型负载均衡-复制传统型负载均衡(ALB-CloneCLB)的服务关联角色。

允许ALB-CloneCLB使用此角色来访问您在其他云产品中的资源。

授权策略

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ros:CreateTemplateScratch",
                "ros:GetTemplateScratch",
                "ros:GenerateTemplateByScratch",
                "ros:DeleteTemplateScratch",
                "ros:PreviewStack",
                "ros:CreateStack",
                "ros:DeleteStack",
                "ros:GetStack",
                "ros:ListStacks",
                "ros:ListStackResources",
                "ros:GetStackResource"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "alb:CreateLoadBalancer",
                "alb:DeleteLoadBalancer",
                "alb:UpdateLoadBalancerAttribute",
                "alb:GetLoadBalancerAttribute",
                "alb:AttachCommonBandwidthPackageToLoadBalancer",
                "alb:DetachCommonBandwidthPackageFromLoadBalancer",
                "alb:EnableLoadBalancerAccessLog",
                "alb:DisableLoadBalancerAccessLog",
                "alb:EnableLoadBalancerIpv6Internet",
                "alb:DisableLoadBalancerIpv6Internet",
                "alb:DisableDeletionProtection",
                "alb:EnableDeletionProtection",
                "alb:CreateListener",
                "alb:DeleteListener",
                "alb:GetListenerAttribute",
                "alb:UpdateListenerAttribute",
                "alb:StartListener",
                "alb:StopListener",
                "alb:ListListenerCertificates",
                "alb:AssociateAclsWithListener",
                "alb:DissociateAclsFromListener",
                "alb:AssociateAdditionalCertificatesWithListener",
                "alb:DissociateAdditionalCertificatesFromListener",
                "alb:CreateRule",
                "alb:CreateRules",
                "alb:DeleteRules",
                "alb:DeleteRule",
                "alb:UpdateRuleAttribute",
                "alb:UpdateRulesAttribute",
                "alb:ListRules",
                "alb:DeleteAcl",
                "alb:CreateAcl",
                "alb:ListAcls",
                "alb:AddEntriesToAcl",
                "alb:RemoveEntriesFromAcl",
                "alb:ListAclEntries",
                "alb:ListAclRelations",
                "alb:ListServerGroupServers",
                "alb:ListServerGroups",
                "alb:CreateServerGroup",
                "alb:DeleteServerGroup",
                "alb:UpdateServerGroupAttribute",
                "alb:UpdateServerGroupServersAttribute",
                "alb:AddServersToServerGroup",
                "alb:RemoveServersFromServerGroup",
                "alb:CreateHealthCheckTemplate",
                "alb:DeleteHealthCheckTemplates",
                "alb:UpdateHealthCheckTemplateAttribute",
                "alb:GetHealthCheckTemplateAttribute",
                "alb:ListTagResources",
                "alb:UnTagResources",
                "alb:TagResources",
                "alb:DescribeZones",
                "alb:ListAsynJobs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "slb:Describe*",
                "slb:ListTagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "tag:TagResources",
                "tag:UntagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "clone.alb.aliyuncs.com"
                }
            }
        }
    ]
}

删除服务关联角色条件

如果您不再需要将CLB一键迁移至ALB,您可以删除ALB服务关联角色AliyunServiceRoleForAlbClone。关于删除服务关联角色,请参见删除RAM角色

NLB服务关联角色

AliyunServiceRoleForNlb

项目

说明

角色名称

AliyunServiceRoleForNlb

角色权限策略

AliyunServiceRolePolicyForNlb

权限说明

允许NLB服务访问您在其他云产品中的资源,例如,云服务器ECS(Elastic Compute Service)、专有网络VPC(Virtual Private Cloud)、弹性网卡ENI(Elastic Network Interface)、弹性公网IP(Elastic IP Address,简称EIP)、共享带宽包等服务资源。

应用场景

NLB需要访问其他云服务资源时,通过服务关联角色功能获取访问权限。

NLB的创建、删除和变配等功能需要通过ECS和VPC等云产品来实现。

授权策略

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:ModifyNetworkInterfaceAttribute",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission",
                "ecs:AttachNetworkInterfacePermissions",
                "ecs:DetachNetworkInterfacePermissions",
                "ecs:AssignPrivateIpAddresses",
                "ecs:UnassignPrivateIpAddresses",
                "ecs:DescribeNetworkInterfaceAttribute",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress",
                "ecs:AuthorizeSecurityGroupPermission",
                "ecs:RevokeSecurityGroupPermission",
                "ecs:DeleteSecurityGroupPermission",
                "ecs:JoinSecurityGroupPermission",
                "ecs:DeleteSecurityGroupPermission",
                "ecs:LeaveSecurityGroupPermission",
                "ecs:DescribeSecurityGroupPermissions",
                "vpc:RemoveCommonBandwidthPackageIp",
                "vpc:AddCommonBandwidthPackageIp",
                "vpc:DeleteCommonBandwidthPackage",
                "vpc:CreateCommonBandwidthPackage",
                "vpc:DescribeCommonBandwidthPackages",
                "vpc:ModifyCommonBandwidthPackageSpec",
                "vpc:ModifyCommonBandwidthPackageChargeType",
                "vpc:ReleaseEipAddress",
                "vpc:AllocateEipAddress",
                "vpc:AssociateEipAddress",
                "vpc:UnassociateEipAddress",
                "vpc:DescribeEipAddresses",
                "vpc:ModifyEipAddressAttribute",
                "vpc:DeleteIpv6InternetBandwidth",
                "vpc:AllocateIpv6InternetBandwidth",
                "vpc:DescribeIpv6Addresses",
                "vpc:DescribeIpv6Gateways",
                "vpc:DescribeVSwitchAttributes",
                "vpc:MoveResourceGroup",
                "vpc:TagResources",
                "cas:DescribeCACertificate",
                "eipanycast:AllocateAnycastEipAddress",
                "eipanycast:ListAnycastEipAddresses",
                "eipanycast:AssociateAnycastEipAddress",
                "eipanycast:UnassociateAnycastEipAddress",
                "eipanycast:ReleaseAnycastEipAddress"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "nlb.aliyuncs.com"
                }
            }
        },
        {
            "Action": [
                "oss:GetBucketInfo",
                "oss:PutObject",
                "oss:GetObject",
                "oss:PutBucket",
                "oss:PutBucketVersioning",
                "oss:GetBucketVersioning",
                "oss:GetObjectVersion",
                "oss:PutBucketCors"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:oss:*:*:nlb-res-backup-*",
                "acs:oss:*:*:nlb-res-backup-*/*"
            ]
        }
    ]
}

删除服务关联角色条件

如果您不再使用AliyunServiceRoleForNlb,例如不需要创建和管理NLB资源等,可以删除NLB所使用的服务关联角色AliyunServiceRoleForNlb。删除AliyunServiceRoleForNlb时,需先确保当前账号下没有NLB实例。

CLB服务关联角色

AliyunServiceRoleForSlbLogDelivery

项目

说明

服务名称

logdelivery.slb.aliyuncs.com

角色权限策略

AliyunServiceRolePolicyForSlbLogDelivery

权限说明

允许阿里云传统型负载均衡服务访问您的日志服务(SLS)和OSS服务。

使用场景

用户启用实例的日志投递功能,CLB会将用户日志投递到用户的SLS或者OSS服务。

创建时机

  • 用户通过控制台开启健康检查日志、访问日志、秒级监控功能。

  • 用户调用OpenAPI:SetLogsDownloadAttribute或SetAccessLogsDownloadAttribute。

授权策略

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:PostLogStoreLogs",
        "oss:PutObject"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "logdelivery.slb.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色条件

如果您不再使用AliyunServiceRoleForSlbLogDelivery,例如不需要使用CLB访问日志服务和OSS服务,可以删除该角色。删除AliyunServiceRoleForSlbLogDelivery时,需先确保当前账号下没有CLB实例。

AliyunServiceRoleForSlbHealthDiagnose

项目

说明

服务名称

healthdiagnose.slb.aliyuncs.com

角色权限策略

AliyunServiceRolePolicyForSlbHealthDiagnose

权限说明

允许阿里云传统型负载均衡服务访问您的ECS服务。

使用场景

CLB健康检查诊断功能的主要原理是根据CLB监听上的健康检查配置生成诊断脚本,通过ECS云助手在您的ECS上执行脚本得到健康诊断结果,并提供异常的产生原因和常见处理方法。

创建时机

  • 用户使用控制台的实例体检功能。

  • 用户调用OpenAPI:DiagnoseHealthCheckStatus或DetectHealthCheckStatus。

授权策略

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:StopInvocation",
        "ecs:DeleteCommand",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeCommands",
        "ecs:DescribeInvocations",
        "ecs:DescribeInvocationResults",
        "ecs:ModifyCommand"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "healthdiagnose.slb.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色条件

如果您不再使用AliyunServiceRoleForSlbHealthDiagnose,例如不需要使用CLB访问ECS时,可以删除该角色。删除AliyunServiceRoleForSlbHealthDiagnose时,需先确保当前账号下没有CLB实例。

阿里云首页 负载均衡 相关技术圈
为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告
产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理
解决方案技术解决方案行业解决方案
文档与社区文档开发者社区天池大赛培训与认证
权益中心免费试用高校计划企业扶持计划推荐返现计划
支持与服务基础服务企业增值服务迁云服务官网公告系统状态信任中心
关注阿里云
关注阿里云公众号或下载阿里云APP,关注云资讯,随时随地运维管控云服务
阿里云APP阿里云微信
售前咨询:95187-1
售后服务:400-80-13260
法律声明及隐私权政策Cookies政策廉正举报安全举报联系我们加入我们
阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么
© 2009-2023 Aliyun.com 版权所有 增值电信业务经营许可证: 浙B2-20080101 域名注册服务机构许可: 浙D3-20210002 京D3-20220015
浙公网安备 33010602009975号浙B2-20080101-4
关注我们:
新浪微博
联系我们
© 2009-2023 Aliyun.com 版权所有<br/>增值电信业务经营许可证: <a href="http://beian.miit.gov.cn/" target="_blank">浙B2-20080101</a> <br/>域名注册服务机构许可: <a href="https://domain.miit.gov.cn/域名注册服务机构/互联网域名/阿里云计算有限公司 " target="_blank">浙D3-20210002</a> <a href="https://domain.miit.gov.cn/域名注册服务机构/互联网域名/阿里巴巴云计算北京有限公司 " target="_blank">京D3-20220015</a>