PAI-Plugin通過服務關聯角色AliyunServiceRoleForPaiPlugin獲取其他云服務的訪問權限。您在首次使用PAI-Plugin需要訪問對象存儲OSS時,需要為RAM用戶進行一鍵授權,操作一鍵授權時DataWorks自動為RAM用戶創建一個角色并將角色權限賦予RAM用戶。本文為您介紹AliyunServiceRoleForPaiPlugin角色擁有的訪問權限及如何管理該角色。

背景信息

PAI-Plugin服務關聯角色AliyunServiceRoleForPaiPlugin是PAI-Plugin在某些情況下,為了完成自身的某個功能,需要獲取其他云服務的訪問權限而提供的RAM角色。更多關于服務關聯角色的信息請參見服務關聯角色

當PAI-Plugin部分功能需要訪問對象存儲OSS的資源時,您可以通過PAI-Plugin服務關聯角色AliyunServiceRoleForPaiPlugin獲取訪問權限。

AliyunServiceRoleForPaiPlugin權限說明

AliyunServiceRoleForPaiPlugin擁有的對象存儲OSS的訪問權限如下所示。
{
      "Action": [
        "oss:GetObject",
        "oss:PutObject",
        "oss:DeleteObject",
        "oss:ListParts",
        "oss:AbortMultipartUpload",
        "oss:ListObjects",
        "oss:ListBuckets",
        "oss:PutBucketCors",
        "oss:GetBucketCors",
        "oss:DeleteBucketCors"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "oss:BucketTag/pai": "plugin"
        }
      }
}

一鍵授權失敗的可能原因及處理方案

RAM用戶擁有指定的權限時,才能自動創建或刪除PAI-Plugin服務關聯角色AliyunServiceRoleForPaiPlugin,當RAM用戶無法自動創建或刪除AliyunServiceRoleForPaiPlugin時,您需要為RAM用戶添加相應的權限策略,具體操作步驟如下所示。

  1. 通過腳本編輯模式將以下權限策略內容創建為自定義策略,關于如何通過腳本編輯模式創建自定義權限策略,詳情請參見創建自定義權限策略
    {
  "Statement": [
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "plugin.pai.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}
  2. 將已創建的自定義權限策略授權給RAM用戶,關于如何為RAM用戶授權,詳情請參見方式一:在用戶頁面為RAM用戶授權

刪除AliyunServiceRoleForPaiPlugin角色

如果您已開通PAI-Plugin服務,出于安全或其他方面的考慮想要刪除服務關聯角色AliyunServiceRoleForPaiPlugin,則需要明確刪除該角色的影響。刪除AliyunServiceRoleForPaiPlugin后,您可能無法再創建與對象存儲OSS相關的資源,且現有服務中與對象存儲OSS相關的功能會因失去訪問權限受到影響。

刪除服務關聯角色AliyunServiceRoleForPaiPlugin的具體操作步驟,詳情請參見刪除RAM角色