本文介绍如何通过弹性供应服务关联角色授予弹性供应服务访问关联云资源的权限。

前提条件

如果您使用RAM用户,必须为RAM用户添加使用弹性供应服务的权限,才能够管理弹性供应服务关联角色。具体操作,请参见为RAM用户授权
需要添加的权限内容如下:
说明 请将<account ID>替换为您的阿里云主账号的ID。
{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:<account ID>:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "autoprovisioning.ecs.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

背景信息

弹性供应服务关联角色(AliyunServiceRoleForAutoProvisioning)是访问控制提供的一种服务关联角色,用于为弹性供应服务获取关联云服务的访问权限。通过AliyunServiceRoleForAutoProvisioning,弹性供应服务可以获得云服务器ECS、专有网络VPC、云数据库RDS、负载均衡SLB、运维编排OOS、消息服务MNS、云监控CMS服务的访问权限。更多服务关联角色的说明,请参见服务关联角色

创建AliyunServiceRoleForAutoProvisioning

在您创建供应组时,系统会检查当前账号是否已有AliyunServiceRoleForAutoProvisioning,如果不存在则提示需要创建该角色,确认后就会自动创建。您也可以手动创建AliyunServiceRoleForAutoProvisioning,具体操作请参见创建服务关联角色

服务关联角色拥有的权限由对应的云服务定义和使用,您不能为服务关联角色添加、修改或删除权限。您可以在角色详情中查看角色拥有的权限,具体操作请参见查看RAM角色基本信息

删除AliyunServiceRoleForAutoProvisioning

如果您暂时不需要使用AliyunServiceRoleForAutoProvisioning,例如不需要供应组创建和管理资源、确定不使用该角色的影响等,可以删除AliyunServiceRoleForAutoProvisioning,具体操作请参见删除RAM角色
说明 删除AliyunServiceRoleForAutoProvisioning前,必须先删除当前账号下所有地域中的供应组,否则会提示删除失败。

删除AliyunServiceRoleForAutoProvisioning后,供应组不能再创建和管理资源。