すべてのプロダクト
Search

このプロダクト

    ApsaraMQ for MQTT:サービスリンクロール

    ドキュメントセンター

    ApsaraMQ for MQTT:サービスリンクロール

    最終更新日:Dec 12, 2025

    このトピックでは、ApsaraMQ for MQTT のサービスリンクロールについて、背景情報、アクセスポリシー、注意事項、よくある質問 (FAQ) などを説明します。

    背景情報

    サービスリンクロールは、Alibaba Cloud サービスが特定の機能のために他の Alibaba Cloud サービスにアクセスする際に引き受ける Resource Access Management (RAM) ロールです。対応する Alibaba Cloud サービスのコンソールで初めて機能を使用する際に、サービスリンクロールを自動的に作成するよう求めるプロンプトがシステムに表示されます。サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。

    ApsaraMQ for MQTT は、以下のサービスリンクロールを提供します。

    サービスリンクロール

    ロールアクセスポリシー

    説明

    AliyunServiceRoleForMqttCoreRuleEngine

    AliyunServiceRolePolicyForMqttCoreRuleEngine

    ApsaraMQ for MQTT のルールエンジンは、この RAM ロールを引き受けて、Elastic Compute Service (ECS)、PrivateLink、virtual private cloud (VPC)、および ApsaraMQ for Kafka の権限を取得します。これにより、ApsaraMQ for MQTT はメッセージを ApsaraMQ for Kafka に転送できます。

    重要

    サービス中断を防ぐため、このサービスリンクロールを削除する前に、Alibaba Cloud アカウント配下にあるすべてのルールエンジンを手動で削除してください。操作は慎重に行ってください。

    AliyunServiceRoleForMqttTunnel

    AliyunServiceRolePolicyForMqttTunnel

    ApsaraMQ for MQTT のルールエンジンは、この RAM ロールを引き受けて、ECS、PrivateLink、VPC の権限を取得します。これにより、ApsaraMQ for MQTT の HTTP 認証機能が有効になります。

    アクセスポリシー

    AliyunServiceRolePolicyForMqttCoreRuleEngine

    アクセスポリシー AliyunServiceRolePolicyForMqttCoreRuleEngine は、サービスリンクロール AliyunServiceRoleForMqttCoreRuleEngine に付与されます。ポリシードキュメントは次のとおりです。

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "alikafka:ListInstance",
        "alikafka:ListTopic"
      ],
      "Resource": "acs:alikafka:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "privatelink:UpdateVpcEndpointAttribute",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:ListVpcEndpointServicesByEndUser",
        "privatelink:ListVpcEndpointZones",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:RemoveZoneFromVpcEndpoint"
      ],
      "Resource": "acs:privatelink:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "vpc:DescribeVSwitches",
        "ecs:CreateSecurityGroup"
      ],
      "Resource": "acs:vpc:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:RevokeSecurityGroup"
      ],
      "Resource": "acs:ecs:*:*:*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "core-rule-engine.mqtt.aliyuncs.com"
        }
      }
    }
  ]
}

    AliyunServiceRolePolicyForMqttTunnel

    アクセスポリシー AliyunServiceRolePolicyForMqttTunnel は、サービスリンクロール AliyunServiceRoleForMqttTunnel に付与されます。ポリシードキュメントは次のとおりです。

    {
  "Version":"1",
  "Statement":[
    {
      "Action":[
        "privatelink:UpdateVpcEndpointAttribute",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:ListVpcEndpointServicesByEndUser",
        "privatelink:ListVpcEndpointZones",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:RemoveZoneFromVpcEndpoint"
      ],
      "Resource":"acs:privatelink:*:*:*",
      "Effect":"Allow"
    },
    {
      "Action":[
        "privatelink:CreateVpcEndpoint",
        "vpc:DescribeVSwitches",
        "ecs:CreateSecurityGroup"
      ],
      "Resource":"acs:vpc:*:*:*",
      "Effect":"Allow"
    },
    {
      "Action":[
        "privatelink:CreateVpcEndpoint",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:RevokeSecurityGroup"
      ],
      "Resource":"acs:ecs:*:*:*",
      "Effect":"Allow"
    },
    {
      "Action":"ram:DeleteServiceLinkedRole",
      "Resource":"*",
      "Effect":"Allow",
      "Condition":{
        "StringEquals":{
          "ram:ServiceName":"ep-tunnel.mqtt.aliyuncs.com"
        }
      }
    }
  ]
}

    サービスリンクロールの表示

    サービスリンクロールが作成された後、Resource Access Management (RAM) コンソールの [ロール] ページでその情報を表示できます。

    • 基本情報

      ロールの詳細ページで、[基本情報] セクションを見つけます。このセクションでは、ロール名、作成日時、ARN、備考など、ロールの基本情報を表示できます。

    • アクセスポリシー

      ロールの詳細ページで、[権限管理] タブをクリックします。アクセスポリシー名をクリックすると、ポリシードキュメントが表示されます。

      説明

      ポリシードキュメントは、サービスリンクロールの詳細ページでのみ表示できます。このアクセスポリシーを RAM コンソールの [ポリシー] ページで直接表示することはできません。

    • 信頼ポリシー

      ロールの詳細ページで、[信頼ポリシー] タブをクリックして、信頼ポリシードキュメントを表示します。信頼ポリシーは、RAM ロールを引き受けることができる信頼できるエンティティを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスです。信頼ポリシーの Service フィールドでサービスを識別できます。

    RAM ロールの表示方法の詳細については、「RAM ロールの表示」をご参照ください。

    サービスリンクロールの削除

    重要

    サービスリンクロールを削除すると、そのロールに依存する機能は動作しなくなります。操作は慎重に行ってください。

    長期間 Security Center を使用しない場合や、Alibaba Cloud アカウントをログオフする必要がある場合は、Resource Access Management コンソールでサービスリンクロールを手動で削除する必要がある場合があります。具体的な手順については、「RAM ロールの削除」をご参照ください。