概述

应用容灾多活协同管理其他云产品，如微服务引擎云原生网关、关系数据库MySQL版与数据传输服务DTS等，因此当您首次登录控制台时，系统将自动请求获取相关云资源权限，从而更好地为您提供服务。

权限说明

在某些场景下，系统为了完成自身的某个功能，需要获取其他云服务的访问权限。因此，系统创建了云服务内联委托，即服务内联委托adtsadmin。

使用应用高可用服务时，系统需要建立的服务内联委托及其包含的系统权限策略如下：

• 服务内联委托：adtsadmin

• 系统权限策略：应用高可用委托授权管理员权限

• 权限说明：

  {
  	"Version":"1.1",
  	"Statement":[
  		{
                      "Action":[
  	                "rds2:database:list",
  			"MQ2:inst:consumerGroup",
                          "MQ2:inst:ecloudInst",
                          "MQ2:inst:instDetail",
                          "MQ2:inst:subgroupManage",
                          "MQ2:inst:topicManage",
                          "MQ2:inst:perm_subgroup_update",
  			"pgsql:inst:list",
  			"dts:*:*",
  			"rcc:inst:elb_info_read",
  			"rcc:inst:instance-list",
                          "rcc:inst:nacos_service_manage",
                          "rcc:inst:nacos_namespace_manage",
                          "rcc:inst:nacos_config_manage",
                          "rcc:inst:nacos_aksk_manage",
                          "rcc:inst:nacos_user_manage",
                          "rcc:inst:nacos_role_manage",
                          "rcc:inst:nacos_perm_manage",
  			"cgw:inst:getSpuInstInfo",
  			"cgw:inst:getUpstreamInfo",
  			"cgw:inst:getRoutesInfo",
  			"cgw:inst:instance-list",
  			"cgw:inst:updateUpstream",
  			"cgw:inst:updateRoutes"
  		    ],
  		    "Resource":[
  			"*"
  		    ],
  		    "Effect":"Allow"
  	        }
  	]
  }
  

应用场景

注意：在以下场景需要获取其他云服务资源的访问权限。

• 分布式消息服务RocketMQ
  应用多活功能需要查询分布式消息服务RocketMQ实例信息、同步分布式消息服务RocketMQ数据，因此需要获取访问分布式消息服务RocketMQ服务的权限。
• 关系数据库MySQL版
  应用多活功能需要查询关系数据库MySQL版实例信息，因此需要获取访问关系数据库MySQL版服务的权限。
• 关系数据库PostgreSQL版
  应用多活功能需要查询关系数据库PostgreSQL版实例信息，因此需要获取访问关系数据库PostgreSQL版服务的权限。
• 数据传输服务DTS
  应用多活功能需要通过数据传输服务DTS同步数据库数据，因此需要获取访问数据传输服务DTS服务的权限。
• 微服务引擎云原生网关
  应用多活功能需要向微服务引擎云原生网关推送多活规则，因此需要获取访问微服务引擎云原生网关服务的权限。
• 微服务引擎注册配置中心
  应用多活功能需要微服务引擎注册配置中心管理多活规则，因此需要获取访问微服务引擎注册配置中心服务的权限。

服务内联委托说明

• 登录系统控制台时，系统会检查当前账号是否已有服务内联委托adtsadmin，如果不存在则会弹出提示，在您确认授权后，系统自动创建服务内联委托adtsadmin并授权应用高可用委托授权管理员权限策略。
• 创建完成后，您可以在IAM控制台的角色管理页面、API或CLI调用ListDelegates - 获取委托列表的返回结果中查看已创建的服务内联委托。您还可以登录系统控制台，如果可以正常使用则表示已成功创建服务内联委托。

注意
如果没有adtsadmin服务内联委托权限，可能会因为某个服务权限不足而影响系统功能的正常使用。
请不要自行删除或者修改adtsadmin委托以及应用高可用委托授权管理员权限策略。

删除服务内联委托

您可以登录IAM控制台删除服务内联委托。删除后，可能会因为某个服务权限不足而影响系统功能的正常使用，请谨慎操作。

1. 使用IAM管理员账号登录IAM控制台。
2. 在左侧导航栏，选择委托。
3. 在委托页面，单击目标委托并操作删除委托。
4. 在删除委托对话框，输入IAM委托名称，然后单击删除委托。

注意
当您尝试删除一个服务内联委托时，IAM会先检查这个委托是否仍被云资源使用，如果被占用则会删除失败。
您可以根据删除失败的提示信息，查看哪些云资源在使用该委托。
您需要找到对应的云资源，并手动清理这些云资源，然后再删除该服务内联委托。