使用磁盘加密功能时,系统会自动创建一个无影云电脑服务关联角色(AliyunServiceRoleForGwsDiskEncryption)。本文为您介绍无影云电脑服务关联角色的应用场景、权限策略及其相关操作。
背景信息
服务关联角色是与特定的云服务关联的角色。多数情况下,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色。通过服务关联角色可以更好地配置云服务正常操作所必须的权限,避免误操作带来的风险。更多关于服务关联角色的信息,请参见服务关联角色。
应用场景
加密云电脑磁盘的过程中,无影云电脑需要访问密钥管理服务KMS的资源时,可以通过服务关联角色(AliyunServiceRoleForGwsDiskEncryption)获取访问权限。
权限说明
当您首次使用无影云电脑的磁盘加密功能时,系统将自动创建一个服务关联角色,并为其授予权限策略。具体信息如下:
角色名称:AliyunServiceRoleForGwsDiskEncryption
权限策略:AliyunServiceRolePolicyForGwsDiskEncryption
权限说明:无影云电脑使用此角色来访问您的密钥管理服务KMS资源。
该权限策略包含的云服务访问权限如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"kms:ListKeys",
"kms:ListAliases",
"kms:ListResourceTags",
"kms:DescribeKey",
"kms:TagResource",
"kms:UntagResource"
],
"Resource": [
"acs:kms:*:*:*"
],
"Effect": "Allow"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"acs:kms:*:*:*"
],
"Effect": "Allow",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/acs:eds:instance-encryption": "true"
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "disk-encryption.gws.aliyuncs.com"
}
}
}
]
}删除服务关联角色
如果您需要删除无影云电脑服务关联角色(AliyunServiceRoleForGwsDiskEncryption),请先通过控制台或者OpenAPI删除依赖该服务关联角色的无影云电脑资源,即删除包含加密磁盘的云电脑。删除包含加密磁盘的云电脑后,您可以删除服务关联角色(AliyunServiceRoleForGwsDiskEncryption)。具体操作,请参见删除RAM角色。
常见问题
为什么使用RAM用户操作时,无法自动创建无影云电脑服务关联角色(AliyunServiceRoleForGwsDiskEncryption)?
RAM用户(子账号)需要拥有指定的权限(CreateServiceLinkedRole权限),才能自动创建或删除服务关联角色(AliyunServiceRoleForGwsDiskEncryption)。因此,在RAM用户无法自动创建服务关联角色(AliyunServiceRoleForGwsDiskEncryption)时,您需要为其添加以下权限策略。
请将主账号ID替换为您实际的阿里云账号(主账号)ID。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:主账号ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"arms.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}