Cloud Connect Network (CCN) インスタンスをトランジットルーターに接続すると、オンプレミスネットワークはトランジットルーター経由で PrivateZone サービスにアクセスできます。 このアクセスを有効にするには、CCN インスタンスを承認する必要があります。 本トピックでは、さまざまなシナリオでこの承認を実行する方法について説明します。
シナリオ 1:すべてのインスタンスが同じアカウントに属する場合

上の図に示すように、CCN インスタンス、PrivateZone サービスをホストする VPC、およびトランジットルーターインスタンスはすべて同じ Alibaba Cloud アカウントに属しています。 このシナリオでは、Cloud Enterprise Network (CEN) コンソールで CCN インスタンスを直接承認できます。 次の表に、アカウント ID の例を示します。
|
リソース |
アカウント ID |
|
トランジットルーターインスタンス |
253460731706911258 |
|
VPC インスタンス |
253460731706911258 |
|
CCN インスタンス |
253460731706911258 |
- CEN コンソールにログインします。
- [インスタンス] ページで、管理するCENインスタンスを見つけ、インスタンスIDをクリックします。
-
タブで、PrivateZone サービスをホストしている VPC と同じリージョンにあるトランジットルーターを見つけ、そのトランジットルーターの ID をクリックします。
-
「トランジットルーターインスタンスの詳細」ページで、[Access Private Zone] タブで をクリックし、次に 承認 をクリックします。「Resource Access Management (RAM) のクイック承認」ページで、権限付与 をクリックします。
説明PrivateZone サービスへのアクセスを初めて設定するときにのみ、Smart Access Gateway (SAG) を承認する必要があります。 CCN は SAG のコンポーネントであるため、この 1 回限りの承認により、トランジットルーターに接続されているすべての CCN インスタンスが PrivateZone サービスにアクセスできるようになります。
承認後、システムはお客様のアカウントに AliyunSmartAGAccessingPVTZRole という名前の RAM ロールを自動的に作成します。ロールを表示するには、RAM コンソールに移動し、 を選択して、ロールを検索します。
シナリオ 2:CCN インスタンスが別のアカウントに属する場合

上の図に示すように、トランジットルーターインスタンスと PrivateZone サービスをホストする VPC は同じ Alibaba Cloud アカウントに属していますが、CCN インスタンスは別のアカウントに属しています。 このシナリオでは、VPC の所有者のアカウントで信頼ポリシーを変更する必要があります。 次の表に、アカウント ID の例を示します。
|
リソース |
アカウント ID |
|
トランジットルーターインスタンス |
253460731706911258 |
|
VPC インスタンス |
253460731706911258 |
|
CCN インスタンス |
271598332402530847 |
-
VPC の所有者のアカウントで初回承認を実行します。
-
VPC を所有するアカウントを使用して、CEN コンソールにログインします。
-
インスタンス ページで、対象の CEN インスタンスを見つけ、その ID をクリックします。
-
タブで、PrivateZone サービスをホストしている VPC と同じリージョンにあるトランジットルーターを見つけ、そのトランジットルーターの ID をクリックします。
-
トランジットルーターインスタンスの詳細ページで、[プライベートゾーンアクセス] タブをクリックし、承認 をクリックします。クラウドリソースアクセス権限付与 ページで、権限を付与 をクリックします。
説明PrivateZone サービスへのアクセスを初めて設定するときにのみ、Smart Access Gateway (SAG) を承認する必要があります。 CCN は SAG のコンポーネントであるため、この 1 回限りの承認により、トランジットルーターに接続されているすべての CCN インスタンスが PrivateZone サービスにアクセスできるようになります。
-
-
VPC の所有者のアカウントで、AliyunSmartAGAccessingPVTZRole ロールの信頼ポリシーを変更して、クロスアカウントの CCN インスタンスへのアクセスを許可します。
-
VPC を所有するアカウントを使用して、RAM コンソールにログインします。
-
左側のナビゲーションペインで、を選択します。
-
ロール ページで、検索ボックスに AliyunSmartAGAccessingPVTZRole を入力し、ロールを見つけ、ロール名をクリックします。
-
ロールの詳細ページで、トラスト規則 タブをクリックし、編集トラスト規則 をクリックします。
-
[サービス] で、レコードとして
"Cloud Connect Network インスタンスの Alibaba Cloud アカウント ID@smartag.aliyuncs.com"を追加し、OK をクリックします。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "smartag.aliyuncs.com", "271598332402530847@smartag.aliyuncs.com" ] } } ], "Version": "1" }
-
シナリオ 3:トランジットルーターインスタンスが別のアカウントに属する場合

上の図に示すように、CCN インスタンスと PrivateZone サービスをホストする VPC は同じ Alibaba Cloud アカウントに属していますが、トランジットルーターインスタンスは別のアカウントに属しています。 このシナリオでは、VPC の所有者のアカウントで RAM ロールを作成し、ポリシーをアタッチする必要があります。 次の表に、アカウント ID の例を示します。
|
リソース |
アカウント ID |
|
トランジットルーターインスタンス |
271598332402530847 |
|
VPC インスタンス |
253460731706911258 |
|
CCN インスタンス |
253460731706911258 |
-
VPC を所有するアカウントを使用して、RAM コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。
-
ロール ページで、ロールの作成 をクリックします。
-
ロールの作成 パネルで、以下の設定でロールを作成します。
-
Principal Type には、AnyTunnel を選択します。
-
Principal Nameには、Smart Access Gateway を選択します。
-
OK をクリックします。次に、ロール名 を
AliyunSmartAGAccessingPVTZRoleに設定し、OK をクリックします。 -
ロール ページに戻ります。
-
-
ロール ページで、
AliyunSmartAGAccessingPVTZRoleロールを検索してクリックします。 -
権限管理 タブで、権限の付与 をクリックして 権限の付与 パネルを開きます。
-
ポリシー の下の検索ボックスにキーワード pvtz を入力し、AliyunPvtzReadOnlyAccess ポリシーを選択して、Grant permissions をクリックします。
-
権限の付与 パネルで、完了 をクリックします。
-
ロールの詳細ページで、トラスト規則 タブをクリックして承認情報を確認します。
信頼ポリシーの JSON には、
Actionがsts:AssumeRoleに、EffectがAllowに、Principal.Serviceがsmartag.aliyuncs.comに、Versionが1に設定されていることが表示されます。
シナリオ 4:すべてのインスタンスが別々のアカウントに属する場合

上の図に示すように、CCN インスタンス、PrivateZone サービスをホストする VPC、およびトランジットルーターインスタンスはすべて、それぞれ異なる Alibaba Cloud アカウントに属しています。 このシナリオでは、2 つの承認タスクを実行する必要があります。 次の表に、アカウント ID の例を示します。
|
リソース |
アカウント ID |
|
トランジットルーターインスタンス |
253460731706911258 |
|
VPC インスタンス |
283117732402483989 |
|
CCN インスタンス |
271598332402530847 |
異なる Alibaba Cloud アカウントに属する複数の CCN インスタンスが PrivateZone サービスにアクセスする必要がある場合は、すべてを信頼ポリシーに追加する必要があります。
|
リソース |
アカウント ID |
|
トランジットルーターインスタンス |
253460731706911258 |
|
VPC インスタンス |
283117732402483989 |
|
CCN インスタンス 1 |
271598332402530847 |
|
CCN インスタンス 2 |
244831332402557259 |
|
CCN インスタンス 3 |
287683832402436789 |
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"smartag.aliyuncs.com",
"271598332402530847@smartag.aliyuncs.com",
"244831332402557259@smartag.aliyuncs.com",
"287683832402436789@smartag.aliyuncs.com"
]
}
}
],
"Version": "1"
}