コンテナインテリジェントサービスのサービスロール権限 - ACK

クラスターの診断や検査を実行するために、Container Intelligent Service (CIS) は、ユーザーに代わって他の Alibaba Cloud サービスを呼び出すための権限を付与される必要があります。これは、AliyunCISDefaultRole サービスロールを CIS に割り当てることで行われます。割り当てが完了すると、CIS はこのロールを引き受けて、診断と検査の実行時に Elastic Compute Service (ECS)、Virtual Private Cloud (VPC)、Server Load Balancer (SLB) などのサービスにアクセスします。

このトピックでは、サービスロールの割り当て方法と、そのロールによって付与される権限について説明します。

前提条件

開始する前に、以下のものがあることを確認してください。

Alibaba Cloud アカウント、または管理者権限を持つ Resource Access Management (RAM) ユーザー

CIS へのサービスロールの割り当て

このステップは、CIS を初めて使用する場合にのみ必要です。コンソールに Go To RAM For Authorization が表示されない場合、サービスロールはすでに割り当てられています。

CIS コンソールにログインします。
[RAM に移動して承認] をクリックします。[RAM クイック承認] ページで、[承認] をクリックします。
権限付与が完了したら、CIS コンソールページをリフレッシュしてサービスの利用を開始します。

AliyunCISDefaultRole によって提供される権限

CIS は AliyunCISDefaultRole ロールを引き受けて、以下のサービスにまたがるリソースメタデータの読み取りと診断コマンドの実行を行います。

ECS 関連の権限

権限 (アクション)	説明
`ecs:DescribeInstances`	1 つ以上の ECS インスタンスの詳細を照会します。
`ecs:DescribeInstanceStatus`	1 つ以上の ECS インスタンスのステータス情報を照会します。
`ecs:DescribeInstanceTypes`	ECS が提供するインスタンスタイプを照会します。
`ecs:DescribeInstanceTypeFamilies`	ECS が提供するインスタンスファミリーを照会します。
`ecs:DescribeInstanceAttribute`	ECS インスタンスの詳細を照会します。
`ecs:CreateDiagnosticReport`	リソース診断レポートを作成します。
`ecs:DescribeDiagnosticReports`	リソース診断レポートを照会します。
`ecs:DescribeDiagnosticReportAttributes`	リソース診断レポートの詳細を照会します。
`ecs:DescribeDiagnosticMetricSets`	診断メトリックセットを照会します。
`ecs:DescribeDiagnosticMetrics`	診断メトリックを照会します。
`ecs:DescribeSecurityGroupAttribute`	セキュリティグループのルールを照会します。
`ecs:DescribeSecurityGroups`	セキュリティグループの基本情報を照会します。
`ecs:DescribeSecurityGroupReferences`	セキュリティグループが他のセキュリティグループのルールによって参照されているかどうかを確認します。
`ecs:DescribeBandwidthLimitation`	帯域幅リソースを照会します。
`ecs:DescribeCloudAssistantStatus`	1 つ以上の ECS インスタンスにクラウドアシスタントエージェントがインストールされているかどうかを照会します。
`ecs:DescribeCommands`	クラウドアシスタントコマンドを照会します。
`ecs:DescribeInvocationResults`	ECS インスタンス上の 1 つ以上のクラウドアシスタントコマンドの実行結果を照会します。
`ecs:DescribeNetworkInterfaces`	Elastic Network Interface (ENI) を照会します。
`ecs:CreateCommand`	クラウドアシスタントコマンドを作成します。
`ecs:InvokeCommand`	1 つ以上の ECS インスタンスでクラウドアシスタントコマンドをトリガーします。
`ecs:StopInvocation`	1 つ以上の ECS インスタンスで実行中のクラウドアシスタントコマンドを停止します。
`ecs:RunCommand`	ECS インスタンスでシェル、PowerShell、またはバッチコマンドを実行します。

VPC 関連の権限

権限 (アクション)	説明
`vpc:DescribeVpcs`	アカウント内の VPC を照会します。
`vpc:DescribeVpcAttribute`	VPC の構成を照会します。
`vpc:DescribeVSwitches`	アカウント内の vSwitch を照会します。
`vpc:DescribeVSwitchAttributes`	vSwitch の詳細を照会します。
`vpc:DescribeRouteTableList`	ルートテーブルのリストを照会します。
`vpc:DescribeRouteEntryList`	ルートエントリを照会します。
`vpc:DescribeNatGateways`	リージョン内の NAT ゲートウェイを照会します。
`vpc:DescribeEipAddresses`	リージョン内の EIP を照会します。
`vpc:DescribeRouteTables`	ルートテーブル情報を照会します。
`vpc:DescribeSnatTableEntries`	アカウント内の SNAT エントリを照会します。
`vpc:DescribeNetworkAcls`	ネットワークアクセスコントロールリスト (ACL) を照会します。
`vpc:DescribeNetworkAclAttributes`	ネットワーク ACL の詳細を照会します。

SLB 関連の権限

権限 (アクション)	説明
`slb:DescribeLoadBalancers`	アカウント内の SLB インスタンスを照会します。
`slb:DescribeLoadBalancerAttribute`	SLB インスタンスの詳細を照会します。
`slb:DescribeVServerGroups`	vServer グループを照会します。
`slb:DescribeVServerGroupAttribute`	vServer グループの詳細を照会します。
`slb:DescribeLoadBalancerTCPListenerAttribute`	TCP リスナーの構成を照会します。
`slb:DescribeLoadBalancerUDPListenerAttribute`	UDP リスナーの構成を照会します。
`slb:DescribeAccessControlLists`	アカウント内のネットワーク ACL を照会します。
`slb:DescribeAccessControlListAttribute`	ネットワーク ACL の構成を照会します。
`slb:DescribeLoadBalancerListeners`	SLB インスタンスのリスナーを照会します。
`slb:DescribeHealthStatus`	バックエンドサーバーのヘルスステータスを照会します。

Simple Log Service 関連の権限

権限 (アクション)	説明
`sls:GetLogStore`	Logstore の詳細を照会します。

Container Service for Kubernetes (ACK) 関連の権限

権限 (アクション)	説明
`cs:DescribeClusterDetail`	ACK クラスターの詳細を照会します。
`cs:DescribeClusterResources`	指定されたクラスター内のすべてのリソースをリストアップします。
`cs:DescribeTasks`	指定されたクラスター内のタスクをリストアップします。
`cs:DescribeTaskInfo`	指定されたクラスターのタスク情報を照会します。
`cs:DescribeClusterNodePools`	クラスター内のすべてのノードプールをリストアップします。
`cs:DescribeNodePoolVuls`	指定されたノードプールの脆弱性をリストアップします。
`cs:DescribeClusterAddonsUpgradeStatus`	クラスターコンポーネントのアップグレードステータスを照会します。

Elastic Container Instance (ECI) 関連の権限

権限 (アクション)	説明
`eci:DescribeContainerGroups`	複数の Pod に関する情報を照会します。
`eci:RunCommand`	Elastic Container Instance 上でシェルスクリプトを実行します。
`eci:DescribeCommandResult`	コマンドの実行結果を照会します。
`eci:ListUsage`	リージョンで保有する権限とクォータを照会します。

CloudMonitor 関連の権限

権限 (アクション)	説明
`cms:DescribeMetricData`	指定された期間における Alibaba Cloud サービスのモニタリングデータを照会します。
`cms:DescribeMetricLast`	メトリックの最新のモニタリングデータを照会します。
`cms:DescribeMetricMetaList`	CloudMonitor がサポートするメトリックの説明を照会します。
`cms:DescribeMetricTop`	Alibaba Cloud サービスのソートされたモニタリングデータを照会します。
`cms:QueryMetricMeta`	CloudMonitor がサポートするメトリックを照会します。
`cms:QueryMetricTop`	Alibaba Cloud サービスのモニタリングデータを照会します。
`cms:ListMetricMeta`	メトリックメタデータを照会します。
`cms:ListMetricMetaProject`	メトリックメタプロジェクトを照会します。
`cms:QueryMetricData`	Alibaba Cloud サービスのモニタリングデータを照会します。
`cms:QueryMetricLast`	メトリックの最新のモニタリングデータを照会します。
`cms:DescribeMetricList`	Alibaba Cloud サービスの指定されたメトリックのモニタリングデータを照会します。
`cms:QueryMetricList`	CloudMonitor がサポートするメトリックの説明を照会します。
`cms:MetricMeta`	CloudMonitor がサポートするメトリックを照会します。
`cms:DescribeAlertLogList`	最近のアラートを照会します。
`cms:DescribeSystemEventAttribute`	システムイベントの詳細を照会します。
`cms:GetMetricStreamMeta`	CloudMonitor メトリックの説明を照会します。

クォータセンター関連の権限

権限 (アクション)	説明
`quotas:ListProducts`	クォータセンターをサポートする Alibaba Cloud サービスを照会します。
`quotas:ListProductQuotas`	Alibaba Cloud サービスのクォータを照会します。
`quotas:ListProductQuotaDimensions`	Alibaba Cloud サービスがサポートするクォータディメンションを照会します。
`quotas:GetProductQuota`	クォータの詳細を照会します。
`quotas:GetProductQuotaDimension`	Alibaba Cloud サービスのクォータディメンションの詳細を照会します。

RAM 関連の権限

権限 (アクション)	説明
`ram:ListPoliciesForRole`	RAM ロールにアタッチされているポリシーを照会します。

Application Troubleshooting Platform (ATP) 関連の権限

権限 (アクション)	説明
`grace:GetFile`	Application Troubleshooting Platform (ATP) 上の分析ファイルに関する情報を照会します。
`grace:AnalyzeFile`	ATP 上のファイルを分析します。
`grace:UploadFileByOSS`	Object Storage Service (OSS) を使用して ATP にファイルをアップロードします。
`grace:UploadFileByURL`	URL を使用して ATP にファイルをアップロードします。