赛尔校园公共服务平台 Logo
平台使用
阿里云
百度云
移动云
智算服务
教育生态
登录 →
赛尔校园公共服务平台 Logo
平台使用 阿里云 百度云 移动云 智算服务 教育生态
登录
  1. 首页
  2. 阿里云
  3. 表格存储
  4. 安全合规
  5. 使用RAM进行访问控制
  6. 表格存储服务关联角色

表格存储服务关联角色

  • 使用RAM进行访问控制
  • 发布于 2025-04-22
  • 0 次阅读
文档编辑
文档编辑

使用表格存储数据湖投递功能时,需要具有OSS资源的访问权限,此时可以通过表格存储控制台自动创建表格存储服务关联角色AliyunServiceRoleForOTSDataDelivery用于获取对OSS资源的访问权限。

背景信息

服务关联角色是一种可信实体为阿里云服务的RAM角色。表格存储使用服务关联角色获取其他云服务或云资源的访问权限。

通常情况下,服务关联角色是在您执行某项操作时,由系统自动创建。在自动创建服务关联角色失败或表格存储不支持自动创建时,您需要手动创建服务关联角色。

阿里云访问控制为每个服务关联角色提供了一个系统权限策略,该策略不支持修改。如果您想了解该系统策略的具体内容,可前往指定服务关联角色的详情页面查看。

说明

关于服务关联角色的更多信息,请参见服务关联角色。

应用场景

在使用表格存储的数据湖投递功能时,表格存储会自动创建服务关联角色AliyunServiceRoleForOTSDataDelivery,用于允许表格存储访问OSS资源。

RAM用户使用服务关联角色需要的权限

如果使用RAM用户创建或删除服务关联角色,必须联系管理员为该RAM用户授予管理员权限(AliyunXXXFullAccess)或在自定义权限策略的Action语句中为RAM用户添加以下权限:

  • 创建服务关联角色:ram:CreateServiceLinkedRole

  • 删除服务关联角色:ram:DeleteServiceLinkedRole

关于授权的详细操作,请参见创建和删除服务关联角色所需的权限。

创建服务关联角色

使用表格存储数据湖投递功能时,通过表格存储控制台可以自动创建表格存储服务关联角色AliyunServiceRoleForOTSDataDelivery。

表格存储服务关联角色AliyunServiceRoleForOTSDataDelivery对应的权限策略为AliyunServiceRolePolicyForOTSDataDelivery,支持的OSS操作为PutObject、AbortMultipartUpload、PutObjectTagging、GetObject和DeleteObjectTagging。

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面,通过搜索AliyunServiceRoleForOTSDataDelivery查看该服务关联角色的以下信息:

  • 基本信息

    在AliyunServiceRoleForOTSDataDelivery角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在AliyunServiceRoleForOTSDataDelivery角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。

  • 信任策略

    在AliyunServiceRoleForOTSDataDelivery角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色的详细操作,请参见查看RAM角色。

删除服务关联角色

请确保当前账号下所有实例均未使用数据湖投递功能,才能删除表格存储服务关联角色(AliyunServiceRoleForOTSDataDelivery)。

重要

删除表格存储服务关联角色后,当前账号下的数据将无法投递到OSS。

删除服务关联角色的操作步骤如下:

  1. 登录RAM控制台。

  2. 在左侧导航栏中,选择身份管理>角色。

  3. 在角色页面的搜索框中,输入AliyunServiceRoleForOTSDataDelivery,单击image图标或者按【Enter】键。

  4. 在RAM角色右侧操作列,单击删除角色。

  5. 在删除角色对话框,输入角色名称确认删除操作,单击删除角色。

    • 如果当前账号下有实例使用数据湖投递功能,将无法删除该角色。请删除实例下的投递任务后重试删除操作。

    • 如果当前账号下所有实例均未使用数据湖投递功能,则可直接删除该角色。

常见问题

为什么使用RAM用户无法自动创建表格存储服务关联角色(AliyunServiceRoleForOTSDataDelivery)?

只有拥有指定权限的用户,才能自动创建或删除表格存储服务关联角色。当RAM用户无法自动创建表格存储服务关联角色时,需要为RAM用户添加如下权限策略。

使用时请将主账号ID替换为实际的阿里云账号(主账号)ID。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*: 主账号ID :role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "arms.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}
相关文章

身份管理 2025-04-22 14:35

为确保您的阿里云账号及云资源使用安全,如非必要都应避免直接使用阿里云账号(即主账号)来访问表格存储。推荐的做法是使用RAM身份(即RAM用户和RAM角色)来访问表格存储。 RAM用户 RAM用户需要由阿里云账号(即主账号)或拥有管理员权限的

表格存储服务关联角色 2025-04-22 14:35

使用表格存储数据湖投递功能时,需要具有OSS资源的访问权限,此时可以通过表格存储控制台自动创建表格存储服务关联角色AliyunServiceRoleForOTSDataDelivery用于获取对OSS资源的访问权限。 背景信息 服务关联角色是一种可信实体为阿里云

OTS系统权限策略参考 2025-04-22 14:35

本文描述OTS支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。 什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品提供了两种类型的权限策略:系统策略和自定义策略。系统策略统一由阿里云创建

表格存储自定义权限策略参考 2025-04-22 14:35

如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍表格存储使用自定义权限策略的场景和策略示例。 什么是自定义权限策略 在基于RAM的访问控制体系中,自定义权限策略是指在系统权限策略之外,您可以自

目录
Copyright © 2025 your company All Rights Reserved. Powered by 赛尔网络.
京ICP备14022346号-15
gongan beian 京公网安备11010802041014号