云服務器ECS的自助問題排查功能可以幫助用戶診斷多種云服務器問題。在部分診斷功能發起診斷任務前,需要為云服務器ECS獲取訪問相關云資源的權限。本文介紹如何創建、查看和刪除AliyunServiceRoleForECSSelfService。
功能概述
服務關聯角色SLR(Service-linked role)是一種可信實體為阿里云服務的RAM角色,旨在解決跨云服務的授權訪問問題。更多信息,請參見服務關聯角色。
目前實例診斷功能中,需要擁有實例自助問題排查服務關聯角色的功能只有實例費用及安全行為審計。即在使用實例費用及安全行為審計診斷服務時,需要關聯角色AliyunServiceRoleForECSSelfService去查詢ActionTrail來獲取用戶的歷史操作行為審計信息。系統提供的服務關聯角色及其包含的系統權限策略如下:
服務關聯角色:AliyunServiceRoleForECSSelfService
系統權限策略:AliyunServiceRolePolicyForECSSelfService
RAM用戶使用AliyunServiceRoleForECSSelfService需要的權限
如果您使用RAM用戶進行實例費用及安全行為審計診斷,需先聯系阿里云賬號授權RAM用戶擁有創建關聯角色的權限。具體操作,請參見通過腳本編輯模式創建自定義權限策略和為RAM用戶授權。
阿里云賬號授權RAM用戶使用實例自助問題排查功能的權限策略內容如下。其中,<account ID>是變量,需替換為阿里云賬號的UID。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:<account ID>:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"selfservice.ecs.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}
創建AliyunServiceRoleForECSSelfService
在您使用實例費用及安全行為審計診斷功能時,系統會檢查當前賬號是否已有AliyunServiceRoleForECSSelfService,如果不存在則會彈出提示,在您確認提示信息后系統會自動創建AliyunServiceRoleForECSSelfService。
AliyunServiceRoleForECSSelfService包含系統權限策略AliyunServiceRolePolicyForECSSelfService,您無法添加、修改或刪除權限。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:StartInstance",
"ecs:StopInstance",
"ecs:DescribeInstances",
"ecs:CreateSnapshot",
"ecs:DescribeSnapshots",
"ecs:DeleteSnapshot",
"ecs:DescribeDisks",
"ecs:DescribeDisksFullStatus",
"ecs:ResetDisk",
"ecs:DescribeInvocationResults",
"ecs:DescribeInvocations",
"ecs:RunCommand",
"ecs:CreateDiagnosticReport",
"oos:StartExecution",
"oos:ListExecutions",
"oos:ListExecutionLogs",
"oos:ListTaskExecutions",
"oos:CancelExecution",
"actiontrail:LookupEvents"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "selfservice.ecs.aliyuncs.com"
}
}
}
]
}
查看AliyunServiceRoleForECSSelfService
當服務關聯角色創建成功后,您可以在RAM控制臺的角色頁面,通過搜索AliyunServiceRoleForECSSelfService查看角色詳情。
基本信息
在角色詳情頁面的基本信息區域,查看角色基本信息,包括角色名稱、創建時間、角色ARN和備注等。
權限策略
在角色詳情頁面的權限管理頁簽,單擊權限策略名稱,查看權限策略內容以及該角色可授權訪問哪些云資源。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體用戶身份。服務關聯角色的可信實體為云服務,您可以通過信任策略中的
Service
字段查看。
關于如何查看服務關聯角色的詳細操作,請參見查看RAM角色。
刪除AliyunServiceRoleForECSSelfService
刪除AliyunServiceRoleForECSSelfService后,實例費用及安全行為審計診斷功能將無法正常使用,請謹慎刪除。
如果您不再需要使用AliyunServiceRoleForECSSelfService角色時,可以手動刪除。具體操作,請參見刪除服務關聯角色。