本文为您介绍配置审计自动修正服务关联角色(AliyunServiceRoleForConfigRemediation)的应用场景、权限策略、创建及删除操作。
应用场景
当您使用配置审计的自动修正功能修正不合规资源时,需要获取不合规资源的访问权限。此时,配置审计提供了服务关联角色(AliyunServiceRoleForConfigRemediation),解决跨服务授权问题。
说明 更多关于服务关联角色的信息,请参见服务关联角色。
角色说明
配置审计自动修正服务关联角色的详细信息如下:
- 角色名称:AliyunServiceRoleForConfigRemediation。
- 角色权限策略名称:AliyunServiceRolePolicyForConfigRemediation。
- 角色权限策略说明:授予配置审计访问对应云服务中资源的权限。
{ "Version": "1", "Statement": [ { "Action": [ "ecs:TagResources", "vpc:TagResources", "dds:TagResources", "polardb:TagResources", "rds:TagResources", "kvstore:TagResources", "slb:TagResources", "oss:PutBucketTagging", "oss:GetBucketTagging", "nas:AddTags", "cdn:TagResources", "cbn:TagResources", "hbase:TagResources", "cen:TagResources", "cs:GetClusterInfo", "cs:UpdateClusterTags", "ddoscoo:CreateTagResources", "cdn:SetDomainServerCertificate", "oss:PutBucketACL", "oss:PutBucketReferer", "oss:PutBucketEncryption", "ecs:ModifyInstanceAttribute", "slb:SetLoadBalancerDeleteProtection", "actiontrail:CreateTrail", "actiontrail:StartLogging", "composer:InvokeFlow", "composer:GroupInvokeFlow", "composer:CreateFlow", "oos:StartExecution", "tag:TagResources", "tag:ListTagResources" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "acs:Service": [ "composer.aliyuncs.com", "oos.aliyuncs.com" ] } } }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "remediation.config.aliyuncs.com" } } } ] }
创建自动修正服务关联角色
如果您针对规则设置了修正模板,当配置审计通过该规则检测资源为不合规时,会自动在RAM控制台创建自动修正服务关联角色。
在文档使用中是否遇到以下问题
更多建议
匿名提交