Alibaba Cloud サービスは、機能を実装するために他の Alibaba Cloud サービスにアクセスする必要がある場合があります。この場合、サービスに関連付けられたロールを Alibaba Cloud サービスに割り当て、他の Alibaba Cloud サービスへのアクセスに必要な権限を取得できます。サービスに関連付けられたロールは、Resource Access Management (RAM) ロールです。ほとんどの場合、操作を実行すると、システムによってサービスに関連付けられたロールが自動的に作成されます。システムがサービスに関連付けられたロールの作成に失敗した場合、または RocketMQ がサービスに関連付けられたロールの自動作成をサポートしていない場合は、ロールを手動で作成する必要があります。
バックグラウンド情報
RAM は、サービスに関連付けられたロールごとにシステムポリシーを提供します。このポリシーは変更できません。特定のサービスに関連付けられたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。詳細については、「System Policy Reference」をご参照ください。
サポートされているサービスに関連付けられたロール
RocketMQ は、次の表に含まれるサービスに関連付けられたロールを提供します。初めて機能を使用すると、システムは対応するロールを自動的に作成します。
たとえば、RocketMQ のダッシュボード機能を初めて使用すると、システムは自動的に AliyunServiceRoleForOns サービスロールを作成します。
ロール名 | アタッチされたポリシー | 権限 |
AliyunServiceRoleForOns | AliyunServiceRolePolicyForOns | RocketMQ は、このロールをアタッチして次の権限を取得できます。
|
AliyunServiceRoleForRMQMigration | AliyunServiceRolePolicyForRMQMigration | RocketMQ は、この RAM ロールをアタッチして 仮想プライベートクラウド (VPC) にアクセスし、セルフマネージド Apache RocketMQ クラスターを RocketMQ インスタンスに移行するための権限を取得できます。 |
AliyunServiceRoleForRMQDisasterRecovery | AliyunServiceRolePolicyForRMQDisasterRecovery | RocketMQ は、このロールをアタッチして EventBridge にアクセスし、グローバルレプリケーター機能を実装できます。 |
AliyunServiceRoleForRMQ | AliyunServiceRolePolicyForRMQ | RocketMQ 5.x インスタンスにアタッチされるデフォルトポリシー。RocketMQ 5.x インスタンスを作成すると、システムは自動的に AliyunServiceRolePolicyForRMQ ポリシーをインスタンスにアタッチします。 |
ポリシードキュメント
AliyunServiceRoleForOns
次のコードは、AliyunServiceRoleForOns サービスロールにアタッチされている AliyunServiceRolePolicyForOns ポリシーのドキュメントを示しています。
{ "Version": "1", "Statement": [ { "Action": [ "cms:DescribeMetricRuleList", "cms:DescribeMetricList", "cms:DescribeMetricData" ], "Resource": "*", "Effect": "Allow" // 許可 }, { "Action": [ "arms:OpenVCluster", "arms:ListDashboards", "arms:CheckServiceStatus" ], "Resource": "*", "Effect": "Allow" // 許可 }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", // 許可 "Condition": { "StringEquals": { "ram:ServiceName": "ons.aliyuncs.com" } } } ] }AliyunServiceRoleForRMQMigration
次のコードは、AliyunServiceRoleForRMQMigration サービスロールにアタッチされている AliyunServiceRolePolicyForRMQMigration ポリシーのドキュメントを示しています。
{ "Version": "1", "Statement": [ { "Effect": "Allow", // 許可 "Action": [ "privatelink:CreateVpcEndpoint", "privatelink:ListVpcEndpoints", "privatelink:GetVpcEndpointAttribute", "privatelink:AddZoneToVpcEndpoint", "privatelink:ListVpcEndpointZones", "privatelink:RemoveZoneFromVpcEndpoint", "privatelink:DeleteVpcEndpoint", "privatelink:AttachSecurityGroupToVpcEndpoint", "privatelink:ListVpcEndpointSecurityGroups", "privatelink:DetachSecurityGroupFromVpcEndpoint" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", // 許可 "Condition": { "StringEquals": { "ram:ServiceName": "migration.rmq.aliyuncs.com" } } }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", // 許可 "Condition": { "StringEquals": { "ram:ServiceName": "privatelink.aliyuncs.com" } } } ] }AliyunServiceRoleForRMQDisasterRecovery
次のコードは、AliyunServiceRoleForRMQDisasterRecovery サービスロールにアタッチされている AliyunServiceRolePolicyForRMQDisasterRecovery ポリシーのドキュメントを示しています。
{ "Version": "1", "Statement": [ { "Effect": "Allow", // 許可 "Action": [ "eventbridge:ListEventStreamings", "eventbridge:DeleteEventStreaming", "eventbridge:CreateEventStreaming", "eventbridge:StartEventStreaming", "eventbridge:UpdateEventStreaming", "eventbridge:PauseEventStreaming", "eventbridge:GetEventStreaming", "Ecs:DescribeSecurityGroups" ], "Resource": "*" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", // 許可 "Condition": { "StringEquals": { "ram:ServiceName": "disaster-recovery.rmq.aliyuncs.com" } } } ] }AliyunServiceRoleForRMQ
次のコードは、AliyunServiceRoleForRMQ サービスロールにアタッチされている AliyunServiceRolePolicyForRMQ ポリシーのドキュメントを示しています。
{ "Version": "1", "Statement": [ { "Effect": "Allow", // 許可 "Action": [ "privatelink:CreateVpcEndpoint", "privatelink:ListVpcEndpoints", "privatelink:GetVpcEndpointAttribute", "privatelink:AddZoneToVpcEndpoint", "privatelink:ListVpcEndpointZones", "privatelink:RemoveZoneFromVpcEndpoint", "privatelink:DeleteVpcEndpoint", "privatelink:AttachSecurityGroupToVpcEndpoint", "privatelink:ListVpcEndpointSecurityGroups", "privatelink:DetachSecurityGroupFromVpcEndpoint", "privatelink:UpdateVpcEndpointZoneConnectionResourceAttribute", "Ecs:CreateSecurityGroup", "Ecs:DeleteSecurityGroup", "Ecs:DescribeSecurityGroupAttribute", "Ecs:DescribeSecurityGroups", "kms:DescribeRegions", "kms:GetKmsInstance", "kms:ListKeys", "kms:ListAliases", "kms:ListResourceTags", "kms:DescribeKey", "kms:TagResource", "kms:UntagResource" ], "Resource": "*" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow", // 許可 "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:rocketmq:instance-encryption": "true" } } }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", // 許可 "Condition": { "StringEquals": { "ram:ServiceName": "rmq.aliyuncs.com" } } }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", // 許可 "Condition": { "StringEquals": { "ram:ServiceName": "privatelink.aliyuncs.com" } } } ] }
サービスに関連付けられたロールの詳細を表示する
サービスに関連付けられたロールが作成された後、RAM コンソール のロールの詳細ページに移動して、ロールの詳細を表示できます。サービスに関連付けられたロールの詳細は、次の情報を含みます。
基本情報
[基本情報] セクションでは、ロールに関する基本情報を表示できます。基本情報には、名前、作成時間、Alibaba Cloud リソースネーム (ARN)、説明が含まれます。
ポリシー
[権限] タブで、ポリシー名をクリックしてポリシードキュメントを表示できます。
説明RAM コンソールの [ポリシー] ページでは、サービスに関連付けられたロールにアタッチされているポリシーを表示することはできません。ロールの詳細ページでのみポリシーを表示できます。
信頼ポリシー
[信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーのドキュメントを表示できます。信頼ポリシーは、RAM ロールの信頼できるエンティティについて説明します。信頼できるエンティティとは、RAM ロールをアタッチできるエンティティのことです。サービスに関連付けられたロールの信頼できるエンティティは、クラウドサービスです。信頼ポリシーの
Serviceフィールドの値を表示して、信頼できるエンティティを取得できます。
サービスに関連付けられたロールに関する情報の表示方法の詳細については、「RAM ロールの情報を表示する」をご参照ください。
サービスに関連付けられたロールを削除する
サービスに関連付けられたロールを削除すると、そのロールに依存する機能は使用できなくなります。注意して進めてください。
長期間 Security Center を使用しない場合、または Alibaba Cloud アカウントを削除する場合、RAM コンソール でサービスに関連付けられたロールを手動で削除する必要がある場合があります。詳細については、「RAM ロールを削除する」をご参照ください。
よくある質問
RAM ユーザーの RocketMQ for ApsaraMQ 用のサービスロール AliyunServiceRoleForOns が自動的に作成されないのはなぜですか?
サービスに関連付けられたロールが Alibaba Cloud アカウントに対して作成されている場合、RAM ユーザーは Alibaba Cloud アカウントのサービスに関連付けられたロールを継承します。RAM ユーザーがロールを継承しない場合は、RAM コンソール にログインし、次の権限ポリシーを追加します。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:Alibaba Cloud アカウント ID:role/*", // Alibaba Cloud アカウント ID
"Effect": "Allow", // 許可
"Condition": {
"StringEquals": {
"ram:ServiceName": "ons.aliyuncs.com"
}
}
}
],
"Version": "1"
}Alibaba Cloud アカウント ID は、Alibaba Cloud アカウントの ID に置き換えてください。
ポリシーをユーザーにアタッチした後、サービスに関連付けられたロールが RAM ユーザーに対して自動的に作成されない場合は、次のいずれかのシステムポリシーを RAM ユーザーにアタッチします。
AliyunMQFullAccess
AliyunMQReadOnlyAccess
上記のポリシーの詳細については、「システムポリシー」をご参照ください。