概述

應用容災多活協同管理其他云產品，如微服務引擎云原生網關、關系數據庫MySQL版與數據傳輸服務DTS等，因此當您首次登錄控制臺時，系統將自動請求獲取相關云資源權限，從而更好地為您提供服務。

權限說明

在某些場景下，系統為了完成自身的某個功能，需要獲取其他云服務的訪問權限。因此，系統創建了云服務內聯委托，即服務內聯委托adtsadmin。

使用應用高可用服務時，系統需要建立的服務內聯委托及其包含的系統權限策略如下：

• 服務內聯委托：adtsadmin

• 系統權限策略：應用高可用委托授權管理員權限

• 權限說明：

  {
  	"Version":"1.1",
  	"Statement":[
  		{
                      "Action":[
  	                "rds2:database:list",
  			"MQ2:inst:consumerGroup",
                          "MQ2:inst:ecloudInst",
                          "MQ2:inst:instDetail",
                          "MQ2:inst:subgroupManage",
                          "MQ2:inst:topicManage",
                          "MQ2:inst:perm_subgroup_update",
  			"pgsql:inst:list",
  			"dts:*:*",
  			"rcc:inst:elb_info_read",
  			"rcc:inst:instance-list",
                          "rcc:inst:nacos_service_manage",
                          "rcc:inst:nacos_namespace_manage",
                          "rcc:inst:nacos_config_manage",
                          "rcc:inst:nacos_aksk_manage",
                          "rcc:inst:nacos_user_manage",
                          "rcc:inst:nacos_role_manage",
                          "rcc:inst:nacos_perm_manage",
  			"cgw:inst:getSpuInstInfo",
  			"cgw:inst:getUpstreamInfo",
  			"cgw:inst:getRoutesInfo",
  			"cgw:inst:instance-list",
  			"cgw:inst:updateUpstream",
  			"cgw:inst:updateRoutes"
  		    ],
  		    "Resource":[
  			"*"
  		    ],
  		    "Effect":"Allow"
  	        }
  	]
  }
  

應用場景

注意：在以下場景需要獲取其他云服務資源的訪問權限。

• 分布式消息服務RocketMQ
  應用多活功能需要查詢分布式消息服務RocketMQ實例信息、同步分布式消息服務RocketMQ數據，因此需要獲取訪問分布式消息服務RocketMQ服務的權限。
• 關系數據庫MySQL版
  應用多活功能需要查詢關系數據庫MySQL版實例信息，因此需要獲取訪問關系數據庫MySQL版服務的權限。
• 關系數據庫PostgreSQL版
  應用多活功能需要查詢關系數據庫PostgreSQL版實例信息，因此需要獲取訪問關系數據庫PostgreSQL版服務的權限。
• 數據傳輸服務DTS
  應用多活功能需要通過數據傳輸服務DTS同步數據庫數據，因此需要獲取訪問數據傳輸服務DTS服務的權限。
• 微服務引擎云原生網關
  應用多活功能需要向微服務引擎云原生網關推送多活規則，因此需要獲取訪問微服務引擎云原生網關服務的權限。
• 微服務引擎注冊配置中心
  應用多活功能需要微服務引擎注冊配置中心管理多活規則，因此需要獲取訪問微服務引擎注冊配置中心服務的權限。

服務內聯委托說明

• 登錄系統控制臺時，系統會檢查當前賬號是否已有服務內聯委托adtsadmin，如果不存在則會彈出提示，在您確認授權后，系統自動創建服務內聯委托adtsadmin并授權應用高可用委托授權管理員權限策略。
• 創建完成后，您可以在IAM控制臺的角色管理頁面、API或CLI調用ListDelegates - 獲取委托列表的返回結果中查看已創建的服務內聯委托。您還可以登錄系統控制臺，如果可以正常使用則表示已成功創建服務內聯委托。

注意
如果沒有adtsadmin服務內聯委托權限，可能會因為某個服務權限不足而影響系統功能的正常使用。
請不要自行刪除或者修改adtsadmin委托以及應用高可用委托授權管理員權限策略。

刪除服務內聯委托

您可以登錄IAM控制臺刪除服務內聯委托。刪除后，可能會因為某個服務權限不足而影響系統功能的正常使用，請謹慎操作。

1. 使用IAM管理員賬號登錄IAM控制臺。
2. 在左側導航欄，選擇委托。
3. 在委托頁面，單擊目標委托并操作刪除委托。
4. 在刪除委托對話框，輸入IAM委托名稱，然后單擊刪除委托。

注意
當您嘗試刪除一個服務內聯委托時，IAM會先檢查這個委托是否仍被云資源使用，如果被占用則會刪除失敗。
您可以根據刪除失敗的提示信息，查看哪些云資源在使用該委托。
您需要找到對應的云資源，并手動清理這些云資源，然后再刪除該服務內聯委托。