服務關聯角色(ServiceLinkedRole,簡稱SLR)是一種可信實體為阿里云服務的RAM角色,旨在解決跨云服務的授權訪問問題。如您需要使用Hologres來訪問MaxCompute服務,則需要創建服務關聯角色AliyunServiceRoleForHologresIdentityMgmt,本文為您介紹AliyunServiceRoleForHologresIdentityMgmt的創建、授權、查看以及刪除方式。
更多關于服務關聯角色的信息,請參見服務關聯角色。
AliyunServiceRoleForHologresIdentityMgmt介紹
角色說明
服務名稱:identity.hologres.aliyuncs.com。
角色名稱:AliyunServiceRoleForHologresIdentityMgmt。
服務角色說明:Hologres使用此角色來訪問您在MaxCompute服務的資源。
創建AliyunServiceRoleForHologresIdentityMgmt角色并授權
對于新購實例和已有實例,您可通過不同的方式創建AliyunServiceRoleForHologresIdentityMgmt角色并授權。
通過RAM用戶創建AliyunServiceRoleForHologresIdentityMgmt角色時,RAM用戶必須具備CreateServiceLinkedRole權限,詳情請參見創建服務關聯角色所需的權限。
新購實例
可在Hologres實例購買頁單擊創建服務關聯角色進行授權。
已有實例
若無需新購或升級實例,可通過訪問控制快速授權頁面或OpenAPI進行服務關聯角色的創建和授權。
登錄Hologres管理控制臺后,訪問授權服務關聯角色進行快速授權。
通過OpenAPI創建并授權
進入OpenAPI。
在參數配置中配置ServiceName為identity.hologres.aliyuncs.com。
單擊發起調用。
調用成功后,可在RAM控制臺中查看該角色。
查看服務關聯角色
對于已創建的服務關聯角色AliyunServiceRoleForHologresIdentityMgmt,您可通過以下方式查看其權限信息。
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄選擇身份管理 > 角色。
在角色頁面搜索AliyunServiceRoleForHologresIdentityMgmt,單擊目標角色名稱。
在權限管理頁簽,單擊目標角色的權限策略。
在策略內容頁簽,查看權限說明。
說明服務關聯角色(AliyunServiceRoleForHologresIdentityMgmt)僅支持查看權限策略,不支持修改。
刪除服務關聯角色
當您需要禁止Hologres繼續訪問MaxCompute服務時,您可以在RAM控制臺手動刪除AliyunServiceRoleForHologresIdentityMgmt角色,即可禁止Hologres跨產品訪問。具體操作,請參見刪除RAM角色。
服務關聯角色(AliyunServiceRoleForHologresIdentityMgmt)刪除時,會同時解除授權。
通過RAM用戶刪除AliyunServiceRoleForHologresIdentityMgmt角色時,RAM用戶必須具備DeleteServiceLinkedRole權限,詳見刪除服務關聯角色所需的權限。
常見問題
問題一:在Hologres新購實例頁面點擊創建服務關聯角色時,顯示“當前登錄用戶沒有創建服務關聯角色的權限,請聯系主賬號或權限管理員授權當前用戶。”
解決方案:您可使用阿里云賬號(主賬號)為RAM用戶授予CreateServiceLinkedRole權限,詳情請參見服務關聯角色。
問題二:在Hologres中訪問MaxCompute外部表時,您可能會遇到以下報錯:
報錯一:
ERROR: Fail to access foreign data as user 1063806044629636, AliyunServiceRoleForHologresIdentityMgmt does not exist
。報錯二:
ErrorMessage=ODPS-0420095: Access Denied - Authorization Failed [4111], You have NO privilege \'odps:ActOnBehalfOfAnotherUser\' on {acs:odps:regions_id:xxxxxx:users/default/aliyun/xxxxxx. Not pass by ram permission check
。
解決方案:您需要重新對服務關聯角色(AliyunServiceRoleForHologresIdentityMgmt)進行授權,詳情請參見創建AliyunServiceRoleForHologresIdentityMgmt角色并授權中通過Hologres管理控制臺為已有實例授權的方法。