配置审计服务关联角色(AliyunServiceRoleForConfig)是在某些场景下,为了完成配置审计的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。

说明 更多关于服务关联角色的信息,请参见服务关联角色

应用场景

配置审计服务关联角色的应用场景如下:
  • 当配置审计调用各云服务的OpenAPI查询接口,获取当前账号下云资源的配置信息时,需要通过服务关联角色获取云资源配置信息的读取权限。
  • 当您设置对象存储OSS的存储空间(Bucket)用于接收资源快照时,配置审计需向您指定的存储空间写入快照文件,需要通过服务关联角色获取存储空间的写入权限。
  • 当您设置日志服务SLS的日志库用于接收资源日志(Logstore)时,配置审计需向您指定的日志库写入日志文件,需要通过服务关联角色获取日志库的写入权限。
  • 当您设置消息服务MNS的主题用于接收资源事件时,配置审计需向您指定的主题写入资源事件,需要通过服务关联角色获取主题的写入权限。

创建服务关联角色

在配置审计控制台上,创建服务关联角色的操作方法如下:
  • 个人版配置审计

    阿里云账号使用配置审计服务之前,需要创建服务关联角色。具体操作,请参见服务授权

  • 企业版配置审计

    当企业管理账号将个人版配置审计升级为企业版时,单击升级企业版,配置审计将自动为所有成员账号创建服务关联角色。

    更多关于企业版配置审计的信息,请参见企业版配置审计概述

删除服务关联角色

如果您需要删除服务关联角色,则请登录RAM控制台,执行删除操作。具体操作,请参见删除服务关联角色

角色说明

配置审计服务关联角色的详细信息如下:

  • 角色名称:AliyunServiceRoleForConfig。
  • 角色权限策略名称:AliyunServiceRolePolicyForConfig。
  • 角色权限策略说明:授予配置审计服务读取当前账号下云资源配置信息的权限,以及资源快照写入对象存储OSS存储空间、资源日志写入日志服务SLS日志库和资源事件写入消息服务MNS的权限。
    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:Describe*",
                "ess:Describe*",
                "vpc:Describe*",
                "rds:DescribeDBInstance*",
                "rds:DescribeRegions",
                "rds:DescribeBackup*",
                "slb:Describe*",
                "*:DescribeTags",
                "oss:GetService",
                "oss:GetBucket*",
                "oss:ListBuckets",
                "oss:ListObjects",
                "ram:List*",
                "ram:Get*",
                "actiontrail:LookupEvents",
                "actiontrail:Describe*",
                "actiontrail:Get*",
                "ots:BatchGet*",
                "ots:Describe*",
                "ots:Get*",
                "ots:List*",
                "ocs:Describe*",
                "cms:Get*",
                "cms:List*",
                "cms:Query*",
                "cms:BatchQuery*",
                "cms:Describe*",
                "kvstore:Describe*",
                "fc:Get*",
                "fc:List*",
                "kms:DescribeKey",
                "kms:DescribeRegions",
                "kms:ListAliases",
                "kms:ListAliasesByKeyId",
                "kms:ListKeys",
                "cdn:Describe*",
                "yundun*:Get*",
                "yundun*:Describe*",
                "yundun*:Query*",
                "yundun*:List*",
                "polardb:Describe*",
                "dds:Describe*",
                "cen:Describe*",
                "mns:ListTopic",
                "mns:GetTopicAttributes",
                "resourcemanager:GetAccount",
                "resourcemanager:ListAccountsForParent",
                "resourcemanager:ListAccounts",
                "resourcemanager:GetFolder",
                "resourcemanager:ListFoldersForParent",
                "resourcemanager:ListAncestors",
                "resourcemanager:GetResourceDirectory",
                "composer:GetFlow",
                "composer:DescribeFlow",
                "nas:Describe*",
                "hbase:Describe*",
                "hbase:Get*",
                "hbase:List*",
                "hbase:Query*",
                "cs:Get*"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "oss:PutObject",
                "fc:InvokeFunction",
                "mns:PublishMessage",
                "composer:GroupInvokeFlow",
                "log:PostLogStoreLogs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "config:*"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "config.aliyuncs.com"
                }
            }
        }
    ]
}