表格存储服务关联角色-表格存储 Tablestore(Tablestore)-阿里云帮助中心

表格存储服务关联角色是表格存储为访问其他云服务资源（如OSS、PrivateLink）而创建的RAM角色。在控制台使用相关功能时，系统自动创建对应的服务关联角色。

创建服务关联角色

使用表格存储的以下功能时，系统会自动创建对应的服务关联角色。每个服务关联角色提供一个系统权限策略，该策略不支持修改。

功能	服务关联角色
数据湖投递	AliyunServiceRoleForOTSDataDelivery
PrivateLink私网连接	AliyunServiceRoleForOTSPrivateLink

服务关联角色列表

以下详细介绍各功能关联角色的具体权限和适用场景。

AliyunServiceRoleForOTSDataDelivery

数据湖投递功能需要访问OSS资源，用于将表格存储数据投递到OSS。通过该角色实现跨服务数据传输的权限控制，支持的OSS操作包括PutObject、AbortMultipartUpload、PutObjectTagging、GetObject和DeleteObjectTagging。

关联系统策略名称：AliyunServiceRolePolicyForOTSDataDelivery

授权策略内容：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "oss:PutObject",
        "oss:AbortMultipartUpload",
        "oss:PutObjectTagging",
        "oss:GetObject",
        "oss:DeleteObjectTagging"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "datadelivery.ots.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForOTSPrivateLink

使用私网连接功能需要通过该角色创建终端节点PrivateLink。

关联系统策略名称：AliyunServiceRolePolicyForOTSPrivateLink

授权策略内容：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "privatelink:OpenPrivateLinkService",
        "privatelink:CheckProductOpen",
        "privatelink:ListVpcEndpointServices",
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:UpdateVpcEndpointAttribute",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:AttachSecurityGroupToVpcEndpoint",
        "privatelink:DetachSecurityGroupFromVpcEndpoint",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:ListVpcEndpointServicesByEndUser",
        "vpc:DescribeVpcs",
        "ecs:DescribeSecurityGroups",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "pvl.ots.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色

当不再使用相关功能时，可在RAM控制台删除对应的服务关联角色。

重要

删除前需确保当前账号下所有实例均未使用对应功能。删除服务关联角色后，相关功能将无法正常使用。
删除AliyunServiceRoleForOTSPrivateLink前，需在表格存储控制台先解绑PVL，否则将导致角色删除失败。

登录RAM控制台。
在左侧导航栏，选择身份管理 > 角色。
搜索要删除的角色名称，如AliyunServiceRoleForOTSDataDelivery。
点击操作列的删除角色，按页面提示完成角色删除。

常见问题

为什么使用RAM用户无法自动创建表格存储服务关联角色？

只有拥有指定权限的用户，才能自动创建或删除表格存储服务关联角色。当RAM用户无法自动创建表格存储服务关联角色时，需要为RAM用户添加如下权限策略。

使用时请将主账号ID替换为实际的阿里云账号（主账号）ID。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*: 主账号ID :role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "datadelivery.ots.aliyuncs.com",
                        "pvl.ots.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}