您在开通CDN的离线日志转存功能时,系统会自动创建服务关联角色AliyunServiceRoleForCDNLogDelivery并进行授权,用于访问OSS和DLA的资源。

AliyunServiceRoleForCDNLogDelivery简介

AliyunServiceRoleForCDNLogDelivery是CDN的一种服务关联角色SLR(Service Linked Role)。当您开通CDN的离线日志转存功能时,CDN需要拥有该服务关联角色才能访问OSS和DLA的资源,实现离线日志自动化转存,确保日志存储地理位置合规。更多关于服务关联角色的信息,请参见服务关联角色

创建服务关联角色AliyunServiceRoleForCDNLogDelivery

当您首次开通CDN的离线日志转存功能时,系统会自动创建一个名称为AliyunServiceRoleForCDNLogDelivery的服务关联角色,并为该服务关联角色授予AliyunServiceRolePolicyForCDNLogDelivery权限策略。CDN通过扮演该角色,允许日志转存服务访问您的OSS和DLA资源,您可以对OSS和DLA进行以下操作:
  • OSS:支持创建和查询OSS Bucket,且支持对OSS进行写入、查询和删除操作。
  • DLA:支持开启、查询和停止DLA任务。
说明 如果CDN已经拥有服务关联角色AliyunServiceRoleForCDNLogDelivery,则不会重复创建该服务关联角色。
权限策略内容如下:
{

  "Version": "1",
  "Statement": [
    {
      "Action": [
        "openanalytics:CreateInstance",
        "openanalytics:UpgradeInstance",
        "openanalytics:ReleaseInstance",
        "openanalytics:ExecuteSQL",
        "openanalytics:QueryExecute",
        "openanalytics:DescribeVirtualCluster",
        "openanalytics:ListSparkJob",
        "openanalytics:GetJobStatus",
        "openanalytics:GetJobDetail",
        "openanalytics:GetJobLog",
        "openanalytics:KillSparkJob",
        "openanalytics:SubmitSparkJob"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:PutBucket",
        "oss:GetBucketInfo"
      ],
      "Effect": "Allow",
      "Resource": "acs:oss:*:*:alicdn-log-delivery-*"
    },
    {
      "Action": [
        "oss:GetObject",
        "oss:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "acs:oss:*:*:alicdn-log-delivery-*/alicdn-offline-log/*"
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "openanalytics.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "logdelivery.cdn.aliyuncs.com"
        }
      }
    }
  ]
}

删除服务关联角色AliyunServiceRoleForCDNLogDelivery

如果您不再使用CDN的离线日志转存功能,且需要删除服务关联角色AliyunServiceRoleForCDNLogDelivery,请参见以下步骤进行删除。

  1. 关闭离线日志转存任务。
    1. 登录CDN控制台
    2. 在左侧导航栏,选择日志管理 > 离线日志
    3. 离线日志页面,单击日志转存页签。
    4. 单击关闭转存任务
    5. 单击确定
  2. 删除服务关联角色。
    1. 登录RAM控制台
    2. 在左侧导航栏,单击身份管理 > 角色
    3. 角色名称列表下,找到需要删除的服务关联角色AliyunServiceRoleForCDNLogDelivery,单击删除
      说明 如果服务关联角色删除失败,您需检查是否已经关闭了离线日志转存任务。