如果您的阿里云账号(主账号)不存在服务关联角色AliyunServiceRoleForGaSsl,您在为全球加速实例配置HTTPS协议的监听时,系统会自动创建服务关联角色AliyunServiceRoleForGaSsl。
AliyunServiceRoleForGaSsl简介
AliyunServiceRoleForGaSsl是全球加速的一种服务关联角色SLR(Service Linked Role),在为全球加速实例配置HTTPS协议的监听时,全球加速需要拥有该服务关联角色才能为HTTPS协议监听绑定SSL证书。
创建服务关联角色AliyunServiceRoleForGaSsl所需的权限
阿里云账号(主账号)默认拥有创建服务关联角色AliyunServiceRoleForGaSsl的权限,RAM用户(子账号)必须拥有以下权限,才可以创建服务关联角色AliyunServiceRoleForGaSsl:
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ssl.ga.aliyuncs.com"
}
}
}您可以通过以下两种方式为RAM用户(子账号)授予创建AliyunServiceRoleForGaSsl所需的权限:
为RAM用户(子账号)添加管理员权限策略AliyunGlobalAccelerationFullAccess。详细信息,请参见为RAM角色授权。
说明创建全球加速服务关联角色AliyunServiceRoleForGaSsl的权限通常包含在管理员权限策略AliyunGlobalAccelerationFullAccess中,因此只要拥有全球加速的管理员权限,就可以为全球加速创建服务关联角色AliyunServiceRoleForGaSsl。
添加自定义权限策略,并为RAM用户(子账号)授权。自定义权限策略包含以下权限:
{ "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "ssl.ga.aliyuncs.com" } } }
具体操作,请参见创建自定义权限策略和为RAM角色授权。
创建服务关联角色AliyunServiceRoleForGaSsl
您在为全球加速实例配置HTTPS协议的监听时,系统会判断全球加速是否拥有服务关联角色AliyunServiceRoleForGaSsl:
如果全球加速不存在服务关联角色AliyunServiceRoleForGaSsl,系统会自动创建该服务关联角色,并为该服务关联角色添加名称为AliyunServiceRoleForGaSsl的权限策略,授予全球加速拥有访问SSL证书的权限,策略内容如下:
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "yundun-cert:GetUserCertificateDetail" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "ssl.ga.aliyuncs.com" } } } ] }如果全球加速已经拥有服务关联角色AliyunServiceRoleForGaSsl,则不会重复创建该服务关联角色。
删除服务关联角色AliyunServiceRoleForGaSsl
系统不会自动删除全球加速的服务关联角色AliyunServiceRoleForGaSsl,如果您要删除该服务关联角色,请先删除全球加速实例的HTTPS协议监听,然后再删除服务关联角色AliyunServiceRoleForGaSsl。具体操作,请参见:
删除监听
删除服务关联角色