クラスタ診断またはクラスタ検査を実行するには、必要なサービロールを Container Intelligent Service ( CIS ) に割り当てる必要があります。その後、CIS はこのロールを偽装して、Elastic Compute Service ( ECS )、Container Service for Kubernetes ( ACK )、Virtual Private Cloud ( VPC )、Server Load Balancer ( SLB ) などのサービスを呼び出し、クラスタを検査および診断できます。このトピックでは、CIS にサービロールを割り当てる方法と、ロールによって提供される権限について説明します。
CIS にサービロールを割り当てる
CIS を初めて使用する場合、サービロール AliyunCISDefaultRole を CIS に割り当てる必要があります。これを行うには、次の手順を実行します。これを行うには、次の手順を実行します。
管理者権限を持つ Alibaba Cloud アカウントまたは Resource Access Management ( RAM ) ユーザーを使用して、CIS にサービロールを割り当てることができます。
CIS コンソール にログオンします。
[RAM 権限付与に移動] をクリックして RAM クイック承認 ページを開き、[承認に同意] をクリックします。
承認が完了したら、ページを更新して CIS を使用します。
デフォルトロールによって提供される権限
CIS のサービロールは AliyunCISDefaultRole です。CIS はこのロールを偽装して ECS インスタンス、VPC、 SLB インスタンスなどのサービスのリソースにアクセスし、診断および検査サービスを提供します。次の表は、AliyunCISDefaultRole ロールによって提供される権限を示しています。
ECS 関連の権限
権限 (アクション) | 説明 |
ecs:DescribeInstances | 1 つ以上の ECS インスタンスの詳細をクエリします。 |
ecs:DescribeInstanceStatus | 1 つ以上の ECS インスタンスのステータス情報をクエリします。 |
ecs:DescribeInstanceTypes | ECS によって提供されるインスタンスタイプをクエリします。 |
ecs:DescribeInstanceTypeFamilies | ECS によって提供されるインスタンスファミリをクエリします。 |
ecs:DescribeInstanceAttribute | ECS インスタンスの詳細をクエリします。 |
ecs:CreateDiagnosticReport | リソース診断レポートを作成します。 |
ecs:DescribeDiagnosticReports | リソース診断レポートをクエリします。 |
ecs:DescribeDiagnosticReportAttributes | リソース診断レポートの詳細をクエリします。 |
ecs:DescribeDiagnosticMetricSets | 診断メトリックセットをクエリします。 |
ecs:DescribeDiagnosticMetrics | 診断メトリックをクエリします。 |
ecs:DescribeSecurityGroupAttribute | セキュリティグループのルールをクエリします。 |
ecs:DescribeSecurityGroups | セキュリティグループに関する基本情報をクエリします。 |
ecs:DescribeSecurityGroupReferences | セキュリティグループが他のセキュリティグループのルールによって参照されているかどうかを確認します。 |
ecs:DescribeBandwidthLimitation | 帯域幅リソースをクエリします。 |
ecs:DescribeCloudAssistantStatus | 1 つ以上の ECS インスタンスに クラウドアシスタントクライアント がインストールされているかどうかをクエリします。 |
ecs:DescribeCommands | 作成した クラウドアシスタント コマンドをクエリします。 |
ecs:DescribeInvocationResults | ECS インスタンス上の 1 つ以上の クラウドアシスタント コマンドの実行結果をクエリします。 |
ecs:DescribeNetworkInterfaces | Elastic Network Interface ( ENI ) をクエリします。 |
ecs:CreateCommand | クラウドアシスタント コマンドを作成します。 |
ecs:InvokeCommand | 1 つ以上の ECS インスタンスで クラウドアシスタント コマンドをトリガーします。 |
ecs:StopInvocation | 1 つ以上の ECS インスタンスで実行されている クラウドアシスタント コマンドの処理を停止します。 |
ecs:RunCommand | ECS インスタンスでシェル、PowerShell、またはバッチコマンドを実行します。 |
VPC 関連の権限
権限 (アクション) | 説明 |
vpc:DescribeVpcs | 作成した VPC をクエリします。 |
vpc:DescribeVpcAttribute | VPC の構成をクエリします。 |
vpc:DescribeVSwitches | 作成した vSwitch をクエリします。 |
vpc:DescribeVSwitchAttributes | vSwitch の詳細情報をクエリします。 |
vpc:DescribeRouteTableList | ルートテーブルをクエリします。 |
vpc:DescribeRouteEntryList | ルートエントリをクエリします。 |
vpc:DescribeNatGateways | リージョン内の特定の条件を満たす NAT ゲートウェイをクエリします。 |
vpc:DescribeEipAddresses | リージョンに作成した Elastic IP Address ( EIP ) をクエリします。 |
vpc:DescribeRouteTables | ルートテーブルに関する情報をクエリします。 |
vpc:DescribeSnatTableEntries | 作成した SNAT エントリをクエリします。 |
vpc:DescribeNetworkAcls | ネットワークアクセス制御リスト ( ACL ) をクエリします。 |
vpc:DescribeNetworkAclAttributes | ネットワーク ACL の詳細をクエリします。 |
SLB 関連の権限
権限 (アクション) | 説明 |
slb:DescribeLoadBalancers | 作成した SLB インスタンスをクエリします。 |
slb:DescribeLoadBalancerAttribute | SLB インスタンスの詳細をクエリします。 |
slb:DescribeVServerGroups | vServer グループをクエリします。 |
slb:DescribeVServerGroupAttribute | vServer グループの詳細をクエリします。 |
slb:DescribeLoadBalancerTCPListenerAttribute | TCP リスナーの構成をクエリします。 |
slb:DescribeLoadBalancerUDPListenerAttribute | UDP リスナーの構成をクエリします。 |
slb:DescribeAccessControlLists | 作成したネットワーク ACL をクエリします。 |
slb:DescribeAccessControlListAttribute | ネットワーク ACL の構成をクエリします。 |
slb:DescribeLoadBalancerListeners | SLB インスタンスのリスナーをクエリします。 |
slb:DescribeHealthStatus | バックエンドサーバーのヘルスステータスをクエリします。 |
Simple Log Service 関連の権限
権限 (アクション) | 説明 |
sls:GetLogStore | Logstore の詳細をクエリします。 |
ACK 関連の権限
権限 (アクション) | 説明 |
cs:DescribeClusterDetail | ACK クラスタの詳細をクエリします。 |
cs:DescribeClusterResources | ACK クラスタ内のすべてのリソースをクエリします。 |
cs:DescribeTasks | ACK クラスタ内のタスクをクエリします。 |
cs:DescribeTaskInfo | ACK クラスタのタスク情報をクエリします。 |
cs:DescribeClusterNodePools | ACK クラスタ内のすべてのノードプールに関する情報をクエリします。 |
cs:DescribeNodePoolVuls | ACK クラスタ内のノードプールの脆弱性をクエリします。 |
cs:DescribeClusterAddonsUpgradeStatus | 複数コンポーネントの更新進捗をクエリします。 |
Elastic Container Instance 関連の権限
権限 (アクション) | 説明 |
eci:DescribeContainerGroups | 複数ポッドの情報をクエリします。 |
eci:RunCommand | Elastic Container Instance 上で シェルスクリプト を実行します。 |
eci:DescribeCommandResult | コマンドの実行結果をクエリします。 |
eci:ListUsage | リージョンで保有している権限とクォータをクエリします。 |
CloudMonitor 関連の権限
権限 (アクション) | 説明 |
cms:DescribeMetricData | 一定期間内に収集された Alibaba Cloud サービス の モニタリングデータ をクエリします。 |
cms:DescribeMetricLast | メトリックの最新のモニタリングデータをクエリします。 |
cms:DescribeMetricMetaList | CloudMonitor でサポートされているメトリックの説明をクエリします。 |
cms:DescribeMetricTop | Alibaba Cloud サービス のソート済みモニタリングデータをクエリします。 |
cms:QueryMetricMeta | CloudMonitor でサポートされているメトリックをクエリします。 |
cms:QueryMetricTop | Alibaba Cloud サービス の モニタリングデータ をクエリします。 |
cms:ListMetricMeta | メトリックのメタデータをクエリします。 |
cms:ListMetricMetaProject | メトリックのメタプロジェクトをクエリします。 |
cms:QueryMetricData | Alibaba Cloud サービス の モニタリングデータ をクエリします。 |
cms:QueryMetricLast | モニタリングメトリックの最新のモニタリングデータをクエリします。 |
cms:DescribeMetricList | Alibaba Cloud サービス のメトリックの モニタリングデータ をクエリします。 |
cms:QueryMetricList | CloudMonitor でサポートされているメトリックの説明をクエリします。 |
cms:MetricMeta | CloudMonitor でサポートされているメトリックをクエリします。 |
cms:DescribeAlertLogList | 最新の アラート をクエリします。 |
cms:DescribeSystemEventAttribute | システムイベントの詳細をクエリします。 |
cms:GetMetricStreamMeta | CloudMonitor メトリックの説明をクエリします。 |
Quota Center 関連の権限
権限 (アクション) | 説明 |
quotas:ListProducts | クォータセンターでサポートされている Alibaba Cloud サービスをクエリします。 |
quotas:ListProductQuotas | Alibaba Cloud サービスのクォータを照会します。 |
quotas:ListProductQuotaDimensions | Alibaba Cloud サービスでサポートされているクォータディメンションをクエリします。 |
クォータ: GetProductQuota | クォータの詳細をクエリします。 |
クォータ: GetProductQuotaDimension | Alibaba Cloud サービスでサポートされているクォータディメンションの詳細をクエリします。 |
RAM 関連の権限
権限 (アクション) | 説明 |
ram:ListPoliciesForRole | RAM ロールにアタッチされているポリシーをクエリします。 |
Resource Access Management 関連の権限
権限 (アクション) | 説明 |
grace:GetFile | アプリケーショントラブルシューティングプラットフォーム ( ATP ) によって提供される分析ファイルに関する情報をクエリします。 |
grace:AnalyzeFile | ATP 上のファイルを分析します。 |
grace:OSSによるファイルアップロード | Object Storage Service (OSS) を使用して ATP にファイルをアップロードします。 |
grace:URLでファイルをアップロード | URL を指定して ATP にファイルをアップロードします。 |