このトピックでは、ApsaraDB RDSインスタンスでサポートされているサービスにリンクされたロールの使用シナリオについて説明します。 このトピックでは、サービスにリンクされたロールを削除する方法についても説明します。

背景情報

ApsaraDB RDSは、次のサービスにリンクされたロールをサポートします。
  • ApsaraDB RDS for PostgreSQLインスタンスに使用されるAliyunServiceRoleForRdsPgsqlOnEcs
  • ApsaraDB RDS for PostgreSQLのデータベースプロキシ機能に使用されます。

ApsaraDB RDSは、特定の機能を提供するために他のAlibaba Cloudサービスへのアクセスを必要とする場合があります。 サービスにリンクされたロールをApsaraDB RDSに割り当てて、他のAlibaba Cloudサービスへのアクセスに必要な権限を取得できます。 サービスにリンクされたロールはRAMロールです。 サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。

AliyunServiceRoleForRdsPgsqlOnEcsの紹介

名前: AliyunServiceRoleForRdsPgsqlOnEcs

添付ポリシー: AliyunServiceRolePolicyForRdsPgsqlOnEcs

権限:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:AttachNetworkInterface",
        "ecs:DetachNetworkInterface" 、
        "ecs:DescribeNetworkInterfaces",
        "ecs: DescribeNetworkInterfaces"、
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:CreateSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:ModifySecurityGroupAttribute" 、
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVSwitches",
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "アクション": "ram:DeleteServiceLinkedRole" 、
      "Resource": "*",
      "効果": "許可"、
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "pgsql-onecs.rds.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForRDSProxyOnEcsの紹介

名前: AliyunServiceRoleForRDSProxyOnEcs

添付ポリシー: AliyunServiceRoleForRDSProxyOnEcs

権限:
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:AttachNetworkInterface",
        "ecs:DetachNetworkInterface" 、
        "ecs:DescribeNetworkInterfaces",
        "ecs: DescribeNetworkInterfaces"、
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:CreateSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:ModifySecurityGroupAttribute" 、
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVSwitches",
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "アクション": "ram:DeleteServiceLinkedRole" 、
      "Resource": "*",
      "効果": "許可"、
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "rdsproxy-onecs.rds.aliyuncs.com"
        }
      }
    }
  ]
}

サービスにリンクされたロールの作成

createservicelinkedroleインターフェイスを呼び出して、サービス関連付けロールを作成できます。

サービスにリンクされたロールの削除

サービスにリンクされたロールを削除する前に、サービスにリンクされたロールに関連付けられているすべてのインスタンスをリリースする必要があります。