可信云服務可以通過IAM委托的方式訪問其他云服務的資源。可信實體為天翼云服務的IAM委托，包括普通云服務委托和云服務關聯委托。本文介紹事件總線EventBridge的服務內聯委托。

什么是服務內聯委托

在某些場景下，事件總線EventBridge為了完成自身的某個功能，需要獲取其他云服務的訪問權限，因此，事件總線EventBridge創建了與云服務內聯委托，即服務內聯委托CtyunAssumeRoleForEventBridge。

使用事件總線EventBridge，系統提供的服務內聯委托及其包含的系統權限策略如下：

• 服務內聯委托：CtyunAssumeRoleForEventBridge

• 系統權限策略：CtyunAssumePolicyForEventBridge

CtyunAssumeRoleForEventBridge

服務內聯委托CtyunAssumeRoleForEventBridge具有獲取訪函數列表、函數詳情以及調用函數的權限；具有對分布式消息服務Kafka、分布式消息服務RocketMQ、分布式消息服務MQTT與分布式消息服務RabbitMQ的管理員權限；具有專有網絡VPC、VPCE的管理員權限。

服務內聯委托CtyunAssumeRoleForEventBridge被授予權限策略CtyunAssumePolicyForEventBridge，該權限策略的內容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "cf:inst:InvokeFunction",
                "cf:inst:GetFunction",
                "cf:inst:ListFunctions",
                "KAFKA:*:*",
                "MQ2:*:*",
                "mqtt:*:*",
                "AMQP:*:*",
                "vpce:*:*",
                "vpc:*:*"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

以下是使用事件總線EventBridge時，需要使用服務內聯委托的場景：

• 建立函數計算規則時，需要委托事件總線EventBridge具有獲取訪函數列表、函數詳情以及調用函數的權限。

• 建立消息中間件事件源與事件目標時，需要委托事件總線EventBridge具有對分布式消息服務Kafka、分布式消息服務RocketMQ、分布式消息服務MQTT與分布式消息服務RabbitMQ的管理員權限。

• 建立網絡端點時，需要委托事件總線EventBridge具有專有網絡VPC、VPCE的管理員權限。

創建服務內聯委托

登錄事件總線EventBridge控制臺時，系統會檢查當前賬號是否已有服務內聯委托CtyunAssumeRoleForEventBridge，如果不存在則會彈出提示，在您確認授權自動創建服務內聯委托CtyunAssumeRoleForEventBridge并授權CtyunAssumePolicyForEventBridge后，系統自動創建CtyunAssumeRoleForEventBridge。

創建完成后，您可以在IAM控制臺的角色管理頁面、API或CLI調用ListDelegates - 獲取委托列表的返回結果中查看已創建的服務內聯委托。

刪除服務內聯委托

您可以登錄IAM控制臺刪除服務內聯委托。刪除后，將無法正常使用事件總線EventBridge控制臺，請謹慎操作。

1. 使用具有操作統一身份認證的賬號登錄IAM控制臺。

2. 在左側導航欄，選擇委托。

3. 在委托頁面，單擊目標委托并操作刪除委托。

4. 在刪除委托對話框，輸入IAM委托名稱，然后單擊刪除委托。