如果您的全球加速不存在服务关联角色AliyunServiceRoleForGaAlb,您在配置负载均衡ALB为全球加速终端节点时,系统会自动创建服务关联角色AliyunServiceRoleForGaAlb。
AliyunServiceRoleForGaAlb简介
AliyunServiceRoleForGaAlb是全球加速的一种服务关联角色SLR(Service Linked Role),在配置全球加速终端节点时,全球加速需要拥有该服务关联角色才能将负载均衡ALB添加为全球加速的终端节点。
说明 服务关联角色是指与某个云服务关联的访问控制(RAM)角色。在某些场景下,为了完成云服务的某个功能,需要获取访问其他云服务的权限。通过服务关联角色,您可以更好地创建云服务正常操作所需的权限,避免误操作带来的风险。更多关于服务关联角色的信息,请参见服务关联角色。
创建服务关联角色AliyunServiceRoleForGaAlb所需的权限
阿里云账号(主账号)默认拥有创建服务关联角色AliyunServiceRoleForGaAlb的权限,RAM用户(子账号)必须拥有以下权限,才可以创建服务关联角色AliyunServiceRoleForGaAlb:
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "alb.ga.aliyuncs.com"
}
}
}您可以通过以下两种方式为RAM用户(子账号)授予创建AliyunServiceRoleForGaAlb所需的权限:
- 为RAM用户(子账号)添加管理员权限策略AliyunGlobalAccelerationFullAccess。详细信息,请参见为RAM角色授权。说明 创建全球加速服务关联角色AliyunServiceRoleForGaAlb的权限通常包含在管理员权限策略AliyunGlobalAccelerationFullAccess中,因此只要拥有全球加速的管理员权限,就可以为全球加速创建服务关联角色AliyunServiceRoleForGaAlb。
- 添加自定义权限策略,并为RAM用户(子账号)授权。自定义权限策略包含以下权限:
{ "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "alb.ga.aliyuncs.com" } } }具体操作,请参见创建自定义权限策略和为RAM角色授权。
创建服务关联角色AliyunServiceRoleForGaAlb
您在配置负载均衡ALB为全球加速终端节点时,系统会判断全球加速是否拥有服务关联角色AliyunServiceRoleForGaAlb:
- 如果全球加速不存在服务关联角色AliyunServiceRoleForGaAlb,系统会自动创建该服务关联角色,并为该服务关联角色添加名称为AliyunServiceRoleForGaAlb的权限策略,授予全球加速拥有访问负载均衡ALB的权限,策略内容如下:
{ "Statement": [ { "Effect": "Allow", "Action": "alb:GetLoadBalancerAttribute", "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "alb.ga.aliyuncs.com" } } } ], "Version": "1" } - 如果全球加速已经拥有服务关联角色AliyunServiceRoleForGaAlb,则不会重复创建该服务关联角色。
删除服务关联角色AliyunServiceRoleForGaAlb
系统不会自动删除全球加速的服务关联角色AliyunServiceRoleForGaAlb,如果您要删除该服务关联角色,请先删除终端节点类型为负载均衡ALB的终端节点,然后再删除服务关联角色AliyunServiceRoleForGaAlb。具体操作,请参见:
- 删除终端节点
- 删除服务关联角色