日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
產品文檔
輸入文檔關鍵字查找
首頁 文件存儲NAS 安全合規 使用RAM進行訪問控制 文件存儲NAS服務關聯角色

文件存儲NAS服務關聯角色

更新時間:
一鍵部署
產品詳情
相關技術圈
我的收藏

為了完成NAS文件系統的某個功能,NAS將自動創建NAS服務關聯角色獲取訪問云服務器ECS、專有網絡VPC等云服務的權限。

背景信息

服務關聯角色是一種可信實體為阿里云服務的RAM角色。文件存儲NAS使用服務關聯角色獲取其他云服務或云資源的訪問權限。

通常情況下,服務關聯角色是在您執行某項操作時,由系統自動創建。在自動創建服務關聯角色失敗或文件存儲NAS不支持自動創建時,您需要手動創建服務關聯角色。

阿里云訪問控制為每個服務關聯角色提供了一個系統權限策略,該策略不支持修改。如果您想了解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。

說明

關于服務關聯角色的更多信息,請參見服務關聯角色

應用場景

NAS服務關聯角色的應用場景如下:

  • AliyunServiceRoleForNasStandard

    創建通用型NAS文件系統的經典網絡類型掛載點時,需要通過AliyunServiceRoleForNasStandard角色訪問您的云服務器ECS服務,獲取資源列表實現鑒權邏輯。

  • AliyunServiceRoleForNasExtreme

    極速型NAS文件系統創建掛載點時,需要通過AliyunServiceRoleForNasExtreme角色訪問您的專有網絡VPC服務與云服務器ECS服務。

  • AliyunServiceRoleForNasEncryption

    創建用戶管理密鑰(KMS)加密的文件系統時,需要通過AliyunServiceRoleForNasEncryption角色訪問密鑰管理服務KMS,獲取您托管給密鑰管理服務KMS的密鑰信息,并為您選擇的密鑰添加標簽,防止您誤刪除密鑰導致文件系統不可用。

  • AliyunServiceRoleForNasLogDelivery

    使用NAS日志分析功能時,需要通過AliyunServiceRoleForNasLogDelivery角色訪問日志服務SLS,并在您的日志服務中創建Project和Logstore,將NAS中存儲的日志數據轉儲至Logstore中。

  • AliyunServiceRoleForNasBackup

    在創建通用型文件系統時,若要使用文件備份功能,需要通過AliyunServiceRoleForNasBackup角色開通云備份服務并創建備份計劃。

  • AliyunServiceRoleForNasEcsHandler

    當您在NAS控制臺使用一鍵掛載功能掛載文件系統時,需要通過AliyunServiceRoleForNasEcsHandler角色訪問ECS云助手,并使用ECS云助手為一臺或多臺ECS實例觸發一條云助手命令,實現掛載、卸載文件系統及查詢ECS掛載狀態。

更多服務關聯角色的信息,請參見服務關聯角色

權限說明

NAS服務關聯角色的權限內容如下:

AliyunServiceRoleForNasStandard

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasExtreme

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasEncryption

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasLogDelivery

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasBackup

{
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}

AliyunServiceRoleForNasEcsHandler

{
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}

RAM用戶使用服務關聯角色需要的權限

如果使用RAM用戶創建或刪除服務關聯角色,必須聯系管理員為該RAM用戶授予管理員權限(AliyunNASFullAccess)或在自定義權限策略的Action語句中為RAM用戶添加以下權限:

  • 創建服務關聯角色:ram:CreateServiceLinkedRole

  • 刪除服務關聯角色:ram:DeleteServiceLinkedRole

關于授權的詳細操作,請參見創建和刪除服務關聯角色所需的權限

查看服務關聯角色

當服務關聯角色創建成功后,您可以在RAM控制臺的角色頁面,通過搜索服務關聯角色名稱(例如,AliyunServiceRoleForNasStandard)查看該服務關聯角色的以下信息:

  • 基本信息

    在AliyunServiceRoleForNasStandard角色詳情頁面的基本信息區域,查看角色基本信息,包括角色名稱、創建時間、角色ARN和備注等。

  • 權限策略

    在AliyunServiceRoleForNasStandard角色詳情頁面的權限管理頁簽,單擊權限策略名稱,查看權限策略內容以及該角色可授權訪問哪些云資源。

  • 信任策略

    在AliyunServiceRoleForNasStandard角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體用戶身份。服務關聯角色的可信實體為云服務,您可以通過信任策略中的Service字段查看。

關于如何查看服務關聯角色的詳細操作,請參見查看RAM角色

刪除服務關聯角色

如果您暫時不需要使用NAS服務關聯角色,例如不需要創建用戶管理密鑰(KMS)加密的文件系統時,可以刪除NAS服務關聯角色。刪除時,請先刪除該角色關聯的文件系統實例。具體操作,請參見刪除文件系統刪除服務關聯角色

重要

刪除服務關聯角色后,依賴該角色的對應功能將無法正常使用,請謹慎刪除。

常見問題

為什么我的RAM用戶無法自動創建NAS服務關聯角色?

只有擁有指定權限的RAM用戶,才能自動創建或刪除文件存儲NAS服務關聯角色。當RAM用戶無法自動創建文件存儲NAS服務關聯角色時,需要為RAM用戶添加以下權限策略。使用時請將主賬號ID替換為實際的阿里云賬號(主賬號)ID。具體操作,請參見創建自定義權限策略

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主賬號ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}