文档

服务关联角色

更新时间:

服务关联角色是一种可信实体为阿里云服务的RAM角色。云原生内存数据库 Tair使用服务关联角色获取其他云服务或云资源的访问权限。

应用场景

云原生内存数据库 Tair服务关联角色(AliyunServiceRoleForKvstore)是用于访问其他云服务的RAM角色。

当您在使用云原生内存数据库 Tair时,为了完成Tair的某个功能,需要获取其他云服务的访问权限,例如使用Tair的日志管理功能,需要通过AliyunServiceRoleForKvstore获取日志服务相关资源的访问权限。

RAM用户创建服务关联角色所需权限

创建服务关联角色的权限通常包含在其对应云服务的管理员权限策略,例如:AliyunKvstoreFullAccess(管理云原生内存数据库 Tair的权限),因此只要具有该云服务的管理员权限,就可以为该云服务创建服务关联角色。

如果您的RAM用户权限不足,您可以添加下述权限后再执行关联角色的授权操作,添加权限的方法参见创建自定义权限策略为RAM用户授权;您也可以直接使用主账号执行关联角色的授权操作。

{
    "Action": "ram:CreateServiceLinkedRole",
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "r-kvstore.aliyuncs.com"
        }
     }
}

创建服务关联角色

服务关联角色是与某个云服务关联的角色,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好的配置云服务正常操作所必须的权限,避免误操作带来的风险。更多介绍,请参见服务关联角色

说明

服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面,通过搜索AliyunServiceRoleForKvstore查看该角色的信息:

  • 基本信息

    AliyunServiceRoleForKvstore角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    AliyunServiceRoleForKvstore角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。

  • 信任策略

    AliyunServiceRoleForKvstore角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色的详细操作,请参见查看RAM角色

删除服务关联角色

如果您需要删除服务关联角色:AliyunServiceRoleForKvstore,需要先释放依赖这个服务关联角色的Tair实例,相关操作方法请参见释放按量付费实例删除服务关联角色