このトピックでは、ApsaraMQ for RabbitMQ のサービスリンクロールの背景情報、ポリシー、使用上の注意、FAQ について説明します。
背景情報
Alibaba Cloud サービスは、機能を有効にするために他の Alibaba Cloud サービスへのアクセスが必要になる場合があります。この場合、Alibaba Cloud サービスにサービスリンクロールを割り当てて、他の Alibaba Cloud サービスにアクセスするために必要な権限を取得できます。サービスリンクロールは、Resource Access Management (RAM) ロールです。コンソールで Alibaba Cloud サービスの機能を初めて使用すると、システムによってサービスリンクロールが作成され、サービスリンクロールが作成されたことが通知されます。詳細については、「サービスリンクロール」をご参照ください。
ApsaraMQ for RabbitMQ が提供するサービスリンクロールを次の表に示します。
サービスリンクロール | サービス名 | 説明 |
AliyunServiceRoleForAmqpMonitoring | monitoring.amqp.aliyuncs.com | ApsaraMQ for RabbitMQ は、この RAM ロールを引き受けて CloudMonitor および Application Real-Time Monitoring Service (ARMS) にアクセスするための権限を取得し、モニタリングおよびアラート機能とダッシュボード機能を実装できます。ApsaraMQ for RabbitMQ コンソールでモニタリングおよびアラート機能とダッシュボード機能を初めて使用すると、システムによってこのロールが作成され、ロールが作成されたことが通知されます。詳細については、「モニタリングとアラート」および「ダッシュボード」をご参照ください。 |
AliyunServiceRoleForAmqpLogDelivery | logdelivery.amqp.aliyuncs.com | ApsaraMQ for RabbitMQ は、この RAM ロールを引き受けて Simple Log Service にアクセスするための権限を取得し、メッセージログ管理機能を実装できます。ApsaraMQ for RabbitMQ コンソールでメッセージログ管理機能を初めて使用すると、システムによってこのロールが作成され、ロールが作成されたことが通知されます。詳細については、「メッセージログ管理」をご参照ください。 |
AliyunServiceRoleForAmqpNetwork | network.amqp.aliyuncs.com | ApsaraMQ for RabbitMQ は、このロールを引き受けて PrivateLink にアクセスし、仮想プライベートクラウド (VPC) 機能を実装できます。ApsaraMQ for RabbitMQ コンソールで VPC 機能を初めて使用すると、システムによってこのロールが作成され、ロールが作成されたことが通知されます。 |
AliyunServiceRoleForAmqpEncrypt | encrypt.amqp.aliyuncs.com | ApsaraMQ for RabbitMQ は、このロールを引き受けて Key Management Service (KMS) にアクセスし、保存データの暗号化機能を実装できます。ApsaraMQ for RabbitMQ コンソールで保存データの暗号化をサポートする専用インスタンスを購入すると、システムによってこのロールが作成され、ロールが作成されたことが通知されます。RAM ユーザーを使用している場合は、CreateServiceLinkedRole オペレーションを呼び出すことによって、このサービスリンクロールを作成することもできます。 |
ポリシー
AliyunServiceRoleForAmqpMonitoring ロールにアタッチされたポリシー
{ "Version": "1", "Statement": [ { "Action": [ "cms:DescribeMetricRuleList", "cms:DescribeMetricList", "cms:DescribeMetricData" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "arms:OpenVCluster", "arms:ListDashboards", "arms:CheckServiceStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "monitoring.amqp.aliyuncs.com" } } } ] }AliyunServiceRoleForAmqpLogDelivery ロールにアタッチされたポリシー
{ "Version": "1", "Statement": [ { "Action": [ "log:ListProject", "log:ListLogStores", "log:PostLogStoreLogs" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "logdelivery.amqp.aliyuncs.com" } } } ] }AliyunServiceRoleForAmqpNetwork ロールにアタッチされたポリシー
{ "Version": "1", "Statement": [ { "Action": [ "privatelink:GetVpcEndpointServiceAttribute", "privatelink:ListVpcEndpointServices", "privatelink:DeleteVpcEndpoint", "privatelink:CreateVpcEndpoint", "privatelink:UpdateVpcEndpointAttribute", "privatelink:ListVpcEndpoints", "privatelink:GetVpcEndpointAttribute", "privatelink:ListVpcEndpointServicesByEndUser", "privatelink:AddZoneToVpcEndpoint", "privatelink:ListVpcEndpointZones", "privatelink:RemoveZoneFromVpcEndpoint", "privatelink:AttachSecurityGroupToVpcEndpoint", "privatelink:ListVpcEndpointSecurityGroups", "privatelink:DetachSecurityGroupFromVpcEndpoint", "privatelink:UpdateVpcEndpointZoneConnectionResourceAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:DescribeVpcAttribute", "vpc:DescribeVpcs", "vpc:ListVSwitchCidrReservations", "vpc:GetVSwitchCidrReservationUsage", "vpc:DescribeVSwitches", "vpc:DescribeVSwitchAttributes", "Ecs:CreateSecurityGroup", "Ecs:DeleteSecurityGroup", "Ecs:DescribeSecurityGroupAttribute", "Ecs:DescribeSecurityGroups" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "network.amqp.aliyuncs.com" } } }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "privatelink.aliyuncs.com" } } } ] }AliyunServiceRoleForAmqpEncrypt ロールにアタッチされたポリシー
{ "Version": "1", "Statement": [ { "Action": [ "kms:List*", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "acs:kms:*:*:*" ], "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rabbitmq:instance-encryption": "true" } } }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "encrypt.amqp.aliyuncs.com" } } } ] }
使用上の注意
システムによって作成されたサービスリンクロールを削除すると、権限が不足しているため、関連する機能を使用できなくなります。サービスリンクロールを削除する際は注意してください。サービスリンクロールを再作成し、必要な権限をロールに付与する方法については、「信頼できる Alibaba Cloud サービスの RAM ロールの作成」および「RAM ロールへの権限の付与」をご参照ください。
FAQ
システムが ApsaraMQ for RabbitMQ のサービスリンクロールを RAM ユーザーに対して作成できないのはなぜですか。
サービスリンクロールが Alibaba Cloud アカウントに対して作成されている場合、RAM ユーザーは Alibaba Cloud アカウントからサービスリンクロールを継承します。RAM ユーザーがサービスリンクロールを継承できない場合は、[RAM コンソール] にログオンし、次のカスタムポリシーを作成して、RAM ユーザーにアタッチします。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:${accountid}:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"logdelivery.amqp.aliyuncs.com",
"monitoring.amqp.aliyuncs.com",
"network.amqp.aliyuncs.com",
"encrypt.amqp.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}${accountid} を Alibaba Cloud アカウント ID に置き換えます。
必要なポリシーを RAM ユーザーにアタッチした後も、システムが RAM ユーザーに対してサービスリンクロールを作成できない場合は、AliyunAMQPFullAccess ポリシーを RAM ユーザーにアタッチします。詳細については、「RAM ユーザーへの権限の付与」をご参照ください。