Bastionhost を初めて使用するときは、他のクラウド リソースへのアクセスを承認します。このトピックでは、承認を実行する方法について説明します。
前提条件
要塞ホストが作成されています。詳細については、「要塞ホストを購入する」をご参照ください。
サービスリンクロールを作成および削除する権限を持つ Alibaba Cloud アカウントまたは Resource Access Management (RAM) ユーザーが使用されます。
背景情報
Bastionhost を初めて使用すると、Alibaba Cloud によってサービスリンクロール AliyunServiceRoleForBastionhost が自動的に作成されます。このロールにより、Bastionhost は他のクラウド サービスにアクセスできます。サービスリンクロールを手動で作成または変更する必要はありません。詳細については、「サービスリンクロール」をご参照ください。
手順
[Bastionhost コンソール] にログオンします。
[bastionhost へようこそ] ダイアログ ボックスで、[作成] をクリックします。
要塞ホストの作成後、初めて Bastionhost コンソールにログオンすると、Bastionhost が他のクラウド リソースにアクセスすることを承認するように求められます。
[作成] をクリックすると、Alibaba Cloud によって AliyunServiceRoleForBastionhost ロールが自動的に作成されます。自動的に作成されたロールは、[RAM コンソール] で表示できます。要塞ホストは、AliyunServiceRoleForBastionhost ロールが作成された後にのみ、Elastic Compute Service ( ECS ) や Virtual Private Cloud ( VPC ) などの他のクラウド サービスにアクセスしたり、サーバーの O&M と監査を実行したりできます。
Bastionhost のサービスリンクロール
Bastionhost を O&M に使用する場合、ECS や VPC などの他のクラウド サービスにアクセスする必要があります。アクセス許可を取得するには、Bastionhost 用に自動的に作成される AliyunServiceRoleForBastionhost ロールを引き受ける必要があります。
次のリストは、AliyunServiceRoleForBastionhost ロールの詳細を示しています。
ロール名: AliyunServiceRoleForBastionhost
権限ポリシー: AliyunServiceRolePolicyForBastionhost
説明これはシステム ポリシーです。このポリシーの名前または内容を変更することはできません。
例:
{ "Version": "1", "Statement": [ { "Action": [ "rds:DescribeDBInstanceNetInfo", "rds:DescribeDBInstances", "rds:DescribeDBInstanceAttribute", "ecs:DescribeInstances", "ecs:DescribeImages", "ecs:DescribeZones", "ecs:DescribeRegions", "ecs:DescribeTags", "ecs:DescribeSecurityGroups", "ecs:DescribeSecurityGroupAttribute", "ecs:AuthorizeSecurityGroup", "ecs:DescribeSecurityGroups", "ecs:DescribeSecurityGroupReferences", "ecs:CreateSecurityGroup", "ecs:RevokeSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:ModifySecurityGroupAttribute", "ecs:ModifySecurityGroupPolicy", "ecs:ModifySecurityGroupRule", "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission", "ecs:DetachNetworkInterface", "ecs:AttachNetworkInterface", "ecs:ModifyNetworkInterfaceAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:DescribeVpcAttribute", "vpc:DescribeVSwitchAttributes" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "bastionhost.aliyuncs.com" } } } ] }
AliyunServiceRoleForBastionhost ロールの削除
Bastionhost を使用しなくなった場合は、そのサービスリンクロール AliyunServiceRoleForBastionhost を削除できます。 AliyunServiceRoleForBastionhost ロールを削除する前に、要塞ホストを解放する必要があります。その後、次の手順を実行します。
[RAM コンソール] にログオンします。
左側のナビゲーション ペインで、 を選択します。
[ロール] ページで、AliyunServiceRoleForBastionhost ロールを見つけ、[アクション] 列の [ロールの削除] をクリックします。
[ロールの削除] ダイアログ ボックスで、ロールの名前を入力し、[ロールの削除] をクリックします。
FAQ
システムが RAM ユーザーの AliyunServiceRoleForBastionhost ロールを作成しません。どうすればよいですか?
システムは、RAM ユーザーに必要な権限がある場合にのみ、AliyunServiceRoleForBastionhost ロールを作成および削除します。必要な権限を取得するには、次のポリシーを RAM ユーザーに追加します。詳細については、「RAM ロールに権限を付与する」をご参照ください。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:Alibaba Cloud アカウント ID:role/*", // Alibaba Cloud アカウント ID
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"bastionhost.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}