受信云服务可以通过扮演RAM角色来访问其他的云资源。可信实体为阿里云服务的RAM角色分为普通服务角色和服务关联角色两种。本文主要介绍服务关联角色。

什么是服务关联角色

在某些场景下,一个云服务为了完成自身的某个功能,需要获取其他云服务的访问权限。例如:配置审计(Config)服务要读取您的云资源信息,以获取资源列表和变更历史,就需要获取ECS、RDS等产品的访问权限。阿里云提供了服务关联角色 SLR(Service Linked Role)来满足此类场景的需求。

服务关联角色是与某个云服务关联的角色。多数情况下,在您使用特定功能时,关联的云服务会自动创建或删除服务关联角色,不需要您主动创建或删除。通过服务关联角色可以更好的配置云服务正常操作所必须的权限,避免误操作带来的风险。

服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。

不支持服务关联角色的云服务,请使用普通服务角色获取其他云服务的访问权限。

创建服务关联角色

某些云服务将在您执行某些特定操作(例如:创建一个云资源或开启一个功能)时自动创建服务关联角色,您可以在RAM控制台的角色管理页面、API或CLI调用ListRoles的返回结果中查看自动创建的服务关联角色。

此外,您也可以主动创建服务关联角色,详情请参见创建服务关联角色

说明
  • 服务关联角色会占用您的RAM角色配额。当RAM角色数量超限时,您仍然可以成功创建服务关联角色,但无法创建其他类型的角色。
  • 关于云服务自动创建服务关联角色的详情,请参见对应云服务的文档说明。

删除服务关联角色

某些云服务将在您执行某些特定操作(例如:删除所有资源或关闭一个功能)时自动删除已创建的服务关联角色,但您也可以从控制台主动删除。关于主动删除服务关联角色,详情请参见删除RAM角色

当您尝试删除一个服务关联角色时,RAM会先检查这个角色是否仍被云资源使用:

  • 如果为否,您可以直接删除该服务关联角色。
  • 如果为是,您暂不能删除该服务关联角色,但可以查看哪些云资源在使用该角色。您需要找到对应的云资源并手动清理这些云资源,然后再删除该服务关联角色。
说明 关于删除服务关联角色的条件,请参见对应云服务的文档说明。

创建和删除服务关联角色所需的权限

您需要拥有指定的权限,才能创建或删除服务关联角色。自动创建服务关联角色的场景也需要具备对应权限。

说明 创建服务关联角色的权限通常包含在其对应云服务的管理员权限策略(例如:AliyunESSFullAccess)中,因此只要具有该云服务的管理员权限,就可以为该云服务创建服务关联角色。

权限策略示例:允许为资源管理(Resource Management)创建和删除服务关联角色。

{
    "Action": [
        "ram:CreateServiceLinkedRole",
        "ram:DeleteServiceLinkedRole"
    ],
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "resourcemanager.aliyuncs.com"
        }
    }
}

使用服务关联角色

服务关联角色仅限关联的对应云服务使用,其他身份(例如:普通RAM用户、其他RAM角色)都无法扮演该角色。

您可以在已创建的服务关联角色的信任策略管理页签中,通过Service字段查看可以使用该角色的云服务。

支持服务关联角色的云服务

云服务 服务名称 服务关联角色 相关文档
资源管理 resourcemanager.aliyuncs.com AliyunServiceRoleForResourceDirectory 资源目录服务关联角色
配置审计 config.aliyuncs.com AliyunServiceRoleForConfig 配置审计服务关联角色
remediation.config.aliyuncs.com AliyunServiceRoleForConfigRemediation
云数据库 PolarDB polardb.aliyuncs.com AliyunServiceRoleForPolarDB PolarDB服务关联角色
混合云备份服务 dr.hbr.aliyuncs.com AliyunServiceRoleForHbrDr HBR ECS容灾的服务关联角色
ecsbackup.hbr.aliyuncs.com AliyunServiceRoleForHbrEcsBackup HBR服务关联角色
ossbackup.hbr.aliyuncs.com AliyunServiceRoleForHbrOssBackup
nasbackup.hbr.aliyuncs.com AliyunServiceRoleForHbrNasBackup
csgbackup.hbr.aliyuncs.com AliyunServiceRoleForHbrCsgBackup
运维编排 bandwidthscheduler.oos.aliyuncs.com AliyunServiceRoleForOOSBandwidthScheduler OOS服务关联角色
instancescheduler.oos.aliyuncs.com AliyunServiceRoleForOOSInstanceScheduler
executiondelivery.oos.aliyuncs.com AliyunServiceRoleForOOSExecutionDelivery
性能测试 pts.aliyuncs.com AliyunServiceRoleForPts 借助RAM用户实现分权
混合云容灾服务 hdr.aliyuncs.com AliyunServiceRoleForHdr HDR服务关联角色
弹性伸缩 ess.aliyuncs.com AliyunServiceRoleForAutoScaling 授予弹性伸缩服务权限
时序数据库TSDB hitsdb.aliyuncs.com AliyunServiceRoleForTSDB 时序数据库服务关联角色
云监控 cloudmonitor.aliyuncs.com AliyunServiceRoleForCloudMonitor 云监控服务关联角色
区块链服务BaaS baas.aliyuncs.com AliyunServiceRoleForBaaS BaaS服务关联角色
HTTPDNS httpdns.aliyuncs.com AliyunServiceRoleForHttpdns HTTPDNS服务关联角色
移动推送 cloudpush.aliyuncs.com AliyunServiceRoleForCloudPush 移动推送服务关联角色介绍
全局流量管理 gtm.aliyuncs.com AliyunServiceRoleForGTM 全局流量管理服务关联角色
云解析DNS alidns.aliyuncs.com AliyunServiceRoleForDNS 云解析DNS服务关联角色
敏感数据保护 sddp.aliyuncs.com AliyunServiceRoleForSDDP 授权SDDP访问云资源
CDN cdn-ddos.cdn.aliyuncs.com AliyunServiceRoleForCDNAccessingDDoS 配置CDN联动DDoS高防
cdn-waf.cdn.aliyuncs.com AliyunServiceRoleForCDNAccessingWAF 配置边缘Web应用防火墙
应用实时监控服务ARMS arms.aliyuncs.com AliyunServiceRoleForARMS ARMS服务关联角色
事件总线EventBridge sendevent-fc.eventbridge.aliyuncs.com AliyunServiceRoleForEventBridgeSendToFC 事件总线服务关联角色
sendevent-mns.eventbridge.aliyuncs.com AliyunServiceRoleForEventBridgeSendToMNS
sendevent-sms.eventbridge.aliyuncs.com AliyunServiceRoleForEventBridgeSendToSMS
sendevent-directmail.eventbridge.aliyuncs.com AliyunServiceRoleForEventBridgeSendToDirectMail
source-rocketmq.eventbridge.aliyuncs.com AliyunServiceRoleForEventBridgeSourceRocketMQ
DataWorks di.dataworks.aliyuncs.com AliyunServiceRoleForDataWorksDI DataWorks数据集成服务关联角色
云服务总线CSB csb.aliyuncs.com AliyunServiceRoleForCSB 云服务总线服务关联角色
弹性高性能计算E-HPC ehpc.aliyuncs.com AliyunServiceRoleForEHPC 弹性高性能计算服务关联角色
消息队列RabbitMQ版 monitoring.amqp.aliyuncs.com AliyunServiceRoleForAmqpMonitoring 消息队列RabbitMQ版服务关联角色
logdelivery.amqp.aliyuncs.com AliyunServiceRoleForAmqpLogDelivery
服务器迁移中心 smc.aliyuncs.com AliyunServiceRoleForSMC SMC服务关联角色
消息队列Kafka版 connector.alikafka.aliyuncs.com AliyunServiceRoleForAlikafkaConnector 消息队列Kafka版服务关联角色
链路追踪 xtrace.aliyuncs.com AliyunServiceRoleForXtrace 链路追踪服务关联角色
NAT网关 nat.aliyuncs.com AliyunServiceRoleForNatgw NAT网关服务关联角色
云解析PrivateZone pvtz.aliyuncs.com AliyunServiceRoleForPvtz PrivateZone服务关联角色
云小蜜 resourcepacket.chatbot.aliyuncs.com AliyunServiceRoleForBeeBotResourcePacket 云小蜜服务关联角色
操作审计 actiontrail.aliyuncs.com AliyunServiceRoleForActionTrail 操作审计服务关联角色
图数据库GDB gdb.aliyuncs.com AliyunServiceRoleForGDB 数据导入-OSS授权
云存储网关 hcs-sgw.aliyuncs.com AliyunServiceRoleForHCSSGW 云存储网关服务关联角色
logmonitor.hcs-sgw.aliyuncs.com AliyunServiceRoleForHCSSGWLogMonitor
云原生数据湖分析DLA openanalytics.aliyuncs.com AliyunServiceRoleForOpenAnalytics DLA服务关联角色
应用高可用服务AHAS ahas.aliyuncs.com AliyunServiceRoleForAHAS AHAS服务关联角色
云桌面 gws.aliyuncs.com AliyunServiceRoleForGws GWS服务关联角色
API网关 apigateway.aliyuncs.com AliyunServiceRoleForApiGateway API网关服务关联角色
monitor.apigateway.aliyuncs.com AliyunServiceRoleForApiGatewayMonitoring API网关-监控服务关联角色
微服务引擎MSE mse.aliyuncs.com AliyunServiceRoleForMSE MSE服务关联角色