為了完成NAS文件系統的某個功能,NAS將自動創建NAS服務關聯角色獲取訪問云服務器ECS、專有網絡VPC等云服務的權限。
背景信息
服務關聯角色是一種可信實體為阿里云服務的RAM角色。文件存儲NAS使用服務關聯角色獲取其他云服務或云資源的訪問權限。
通常情況下,服務關聯角色是在您執行某項操作時,由系統自動創建。在自動創建服務關聯角色失敗或文件存儲NAS不支持自動創建時,您需要手動創建服務關聯角色。
阿里云訪問控制為每個服務關聯角色提供了一個系統權限策略,該策略不支持修改。如果您想了解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。
關于服務關聯角色的更多信息,請參見服務關聯角色。
應用場景
NAS服務關聯角色的應用場景如下:
AliyunServiceRoleForNasStandard
創建通用型NAS文件系統的經典網絡類型掛載點時,需要通過AliyunServiceRoleForNasStandard角色訪問您的云服務器ECS服務,獲取資源列表實現鑒權邏輯。
AliyunServiceRoleForNasExtreme
極速型NAS文件系統創建掛載點時,需要通過AliyunServiceRoleForNasExtreme角色訪問您的專有網絡VPC服務與云服務器ECS服務。
AliyunServiceRoleForNasEncryption
創建用戶管理密鑰(KMS)加密的文件系統時,需要通過AliyunServiceRoleForNasEncryption角色訪問密鑰管理服務KMS,獲取您托管給密鑰管理服務KMS的密鑰信息,并為您選擇的密鑰添加標簽,防止您誤刪除密鑰導致文件系統不可用。
AliyunServiceRoleForNasLogDelivery
使用NAS日志分析功能時,需要通過AliyunServiceRoleForNasLogDelivery角色訪問日志服務SLS,并在您的日志服務中創建Project和Logstore,將NAS中存儲的日志數據轉儲至Logstore中。
AliyunServiceRoleForNasBackup
在創建通用型文件系統時,若要使用文件備份功能,需要通過AliyunServiceRoleForNasBackup角色開通云備份服務并創建備份計劃。
AliyunServiceRoleForNasEcsHandler
當您在NAS控制臺使用一鍵掛載功能掛載文件系統時,需要通過AliyunServiceRoleForNasEcsHandler角色訪問ECS云助手,并使用ECS云助手為一臺或多臺ECS實例觸發一條云助手命令,實現掛載、卸載文件系統及查詢ECS掛載狀態。
更多服務關聯角色的信息,請參見服務關聯角色。
權限說明
NAS服務關聯角色的權限內容如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeInstances"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
{
"Version": "1",
"Statement": [
{
"Action": [
"vpc:DescribeVSwitchAttributes",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:CreateSecurityGroup",
"ecs:DescribeSecurityGroups",
"ecs:DescribeSecurityGroupAttribute",
"ecs:DeleteSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:CreateNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:CreateNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:DeleteNetworkInterfacePermission"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Listkeys",
"kms:Listaliases",
"kms:ListResourceTags",
"kms:DescribeKey",
"kms:TagResource",
"kms:UntagResource"
],
"Resource": "acs:kms:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "acs:kms:*:*:*/*",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:tag/acs:nas:instance-encryption": "true"
}
}
}
],
"Version": "1"
}
{
"Version": "1",
"Statement": [
{
"Action": [
"log:PostLogStoreLogs"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
{
"Version": "1",
"Statement": [{
"Action": [
"hbr:OpenHbrService",
"hbr:CreateTrialBackupPlan"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "backup.nas.aliyuncs.com"
}
}
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
}
}
}
]
}
{
"Version": "1",
"Statement": [
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:InvokeCommand"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeCloudAssistantStatus"
],
"Resource": [
"acs:ecs:*:*:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults"
],
"Resource": [
"*"
]
}
]
}
RAM用戶使用服務關聯角色需要的權限
如果使用RAM用戶創建或刪除服務關聯角色,必須聯系管理員為該RAM用戶授予管理員權限(AliyunNASFullAccess)或在自定義權限策略的Action
語句中為RAM用戶添加以下權限:
創建服務關聯角色:
ram:CreateServiceLinkedRole
刪除服務關聯角色:
ram:DeleteServiceLinkedRole
關于授權的詳細操作,請參見創建和刪除服務關聯角色所需的權限。
查看服務關聯角色
當服務關聯角色創建成功后,您可以在RAM控制臺的角色頁面,通過搜索服務關聯角色名稱(例如,AliyunServiceRoleForNasStandard)查看該服務關聯角色的以下信息:
基本信息
在AliyunServiceRoleForNasStandard角色詳情頁面的基本信息區域,查看角色基本信息,包括角色名稱、創建時間、角色ARN和備注等。
權限策略
在AliyunServiceRoleForNasStandard角色詳情頁面的權限管理頁簽,單擊權限策略名稱,查看權限策略內容以及該角色可授權訪問哪些云資源。
信任策略
在AliyunServiceRoleForNasStandard角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體用戶身份。服務關聯角色的可信實體為云服務,您可以通過信任策略中的
Service
字段查看。
關于如何查看服務關聯角色的詳細操作,請參見查看RAM角色。
刪除服務關聯角色
如果您暫時不需要使用NAS服務關聯角色,例如不需要創建用戶管理密鑰(KMS)加密的文件系統時,可以刪除NAS服務關聯角色。刪除時,請先刪除該角色關聯的文件系統實例。具體操作,請參見刪除文件系統和刪除服務關聯角色。
刪除服務關聯角色后,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
常見問題
為什么我的RAM用戶無法自動創建NAS服務關聯角色?
只有擁有指定權限的RAM用戶,才能自動創建或刪除文件存儲NAS服務關聯角色。當RAM用戶無法自動創建文件存儲NAS服務關聯角色時,需要為RAM用戶添加以下權限策略。使用時請將主賬號ID
替換為實際的阿里云賬號(主賬號)ID。具體操作,請參見創建自定義權限策略。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:主賬號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"standard.nas.aliyuncs.com",
"extreme.nas.aliyuncs.com",
"encryption.nas.aliyuncs.com",
"logdelivery.nas.aliyuncs.com",
"ecs-handler.nas.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}