すべてのプロダクト
Search
ドキュメントセンター

Cloud Enterprise Network:CCN の承認

最終更新日:Jun 22, 2026

Cloud Connect Network (CCN) インスタンスをトランジットルーターに接続すると、オンプレミスネットワークはトランジットルーター経由で PrivateZone サービスにアクセスできます。 このアクセスを有効にするには、CCN インスタンスを承認する必要があります。 本トピックでは、さまざまなシナリオでこの承認を実行する方法について説明します。

シナリオ 1:すべてのインスタンスが同じアカウントに属する場合

云连接网-场景一-架构图

上の図に示すように、CCN インスタンス、PrivateZone サービスをホストする VPC、およびトランジットルーターインスタンスはすべて同じ Alibaba Cloud アカウントに属しています。 このシナリオでは、Cloud Enterprise Network (CEN) コンソールで CCN インスタンスを直接承認できます。 次の表に、アカウント ID の例を示します。

リソース

アカウント ID

トランジットルーターインスタンス

253460731706911258

VPC インスタンス

253460731706911258

CCN インスタンス

253460731706911258

  1. CEN コンソールにログインします。
  2. [インスタンス] ページで、管理するCENインスタンスを見つけ、インスタンスIDをクリックします。
  3. 基本設定 > トランジットルーター タブで、PrivateZone サービスをホストしている VPC と同じリージョンにあるトランジットルーターを見つけ、そのトランジットルーターの ID をクリックします。

  4. 「トランジットルーターインスタンスの詳細」ページで、[Access Private Zone] タブで をクリックし、次に 承認 をクリックします。「Resource Access Management (RAM) のクイック承認」ページで、権限付与 をクリックします。

    説明

    PrivateZone サービスへのアクセスを初めて設定するときにのみ、Smart Access Gateway (SAG) を承認する必要があります。 CCN は SAG のコンポーネントであるため、この 1 回限りの承認により、トランジットルーターに接続されているすべての CCN インスタンスが PrivateZone サービスにアクセスできるようになります。

    承認後、システムはお客様のアカウントに AliyunSmartAGAccessingPVTZRole という名前の RAM ロールを自動的に作成します。ロールを表示するには、RAM コンソールに移動し、アイデンティティ > ロール を選択して、ロールを検索します。

シナリオ 2:CCN インスタンスが別のアカウントに属する場合

云连接网授权-场景二-架构图

上の図に示すように、トランジットルーターインスタンスと PrivateZone サービスをホストする VPC は同じ Alibaba Cloud アカウントに属していますが、CCN インスタンスは別のアカウントに属しています。 このシナリオでは、VPC の所有者のアカウントで信頼ポリシーを変更する必要があります。 次の表に、アカウント ID の例を示します。

リソース

アカウント ID

トランジットルーターインスタンス

253460731706911258

VPC インスタンス

253460731706911258

CCN インスタンス

271598332402530847

  1. VPC の所有者のアカウントで初回承認を実行します。

    1. VPC を所有するアカウントを使用して、CEN コンソールにログインします。

    2. インスタンス ページで、対象の CEN インスタンスを見つけ、その ID をクリックします。

    3. 基本設定 > トランジットルーター タブで、PrivateZone サービスをホストしている VPC と同じリージョンにあるトランジットルーターを見つけ、そのトランジットルーターの ID をクリックします。

    4. トランジットルーターインスタンスの詳細ページで、[プライベートゾーンアクセス] タブをクリックし、承認 をクリックします。クラウドリソースアクセス権限付与 ページで、権限を付与 をクリックします。

      説明

      PrivateZone サービスへのアクセスを初めて設定するときにのみ、Smart Access Gateway (SAG) を承認する必要があります。 CCN は SAG のコンポーネントであるため、この 1 回限りの承認により、トランジットルーターに接続されているすべての CCN インスタンスが PrivateZone サービスにアクセスできるようになります。

  2. VPC の所有者のアカウントで、AliyunSmartAGAccessingPVTZRole ロールの信頼ポリシーを変更して、クロスアカウントの CCN インスタンスへのアクセスを許可します。

    1. VPC を所有するアカウントを使用して、RAM コンソールにログインします。

    2. 左側のナビゲーションペインで、アイデンティティ > ロールを選択します。

    3. ロール ページで、検索ボックスに AliyunSmartAGAccessingPVTZRole を入力し、ロールを見つけ、ロール名をクリックします。

    4. ロールの詳細ページで、トラスト規則 タブをクリックし、編集トラスト規則 をクリックします。

    5. [サービス] で、レコードとして "Cloud Connect Network インスタンスの Alibaba Cloud アカウント ID@smartag.aliyuncs.com" を追加し、OK をクリックします。

      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "smartag.aliyuncs.com",
                          "271598332402530847@smartag.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }

シナリオ 3:トランジットルーターインスタンスが別のアカウントに属する場合

云连接网授权-场景三-架构图

上の図に示すように、CCN インスタンスと PrivateZone サービスをホストする VPC は同じ Alibaba Cloud アカウントに属していますが、トランジットルーターインスタンスは別のアカウントに属しています。 このシナリオでは、VPC の所有者のアカウントで RAM ロールを作成し、ポリシーをアタッチする必要があります。 次の表に、アカウント ID の例を示します。

リソース

アカウント ID

トランジットルーターインスタンス

271598332402530847

VPC インスタンス

253460731706911258

CCN インスタンス

253460731706911258

  1. VPC を所有するアカウントを使用して、RAM コンソールにログインします。

  2. 左側のナビゲーションペインで、アイデンティティ > ロール を選択します。

  3. ロール ページで、ロールの作成 をクリックします。

  4. ロールの作成 パネルで、以下の設定でロールを作成します。

    1. Principal Type には、AnyTunnel を選択します。

    2. Principal Nameには、Smart Access Gateway を選択します。

    3. OK をクリックします。次に、ロール名AliyunSmartAGAccessingPVTZRole に設定し、OK をクリックします。

    4. ロール ページに戻ります。

  5. ロール ページで、AliyunSmartAGAccessingPVTZRole ロールを検索してクリックします。

  6. 権限管理 タブで、権限の付与 をクリックして 権限の付与 パネルを開きます。

  7. ポリシー の下の検索ボックスにキーワード pvtz を入力し、AliyunPvtzReadOnlyAccess ポリシーを選択して、Grant permissions をクリックします。

  8. 権限の付与 パネルで、完了 をクリックします。

  9. ロールの詳細ページで、トラスト規則 タブをクリックして承認情報を確認します。

    信頼ポリシーの JSON には、Actionsts:AssumeRole に、EffectAllow に、Principal.Servicesmartag.aliyuncs.com に、Version1 に設定されていることが表示されます。

シナリオ 4:すべてのインスタンスが別々のアカウントに属する場合

云连接网授权-场景四-架构图

上の図に示すように、CCN インスタンス、PrivateZone サービスをホストする VPC、およびトランジットルーターインスタンスはすべて、それぞれ異なる Alibaba Cloud アカウントに属しています。 このシナリオでは、2 つの承認タスクを実行する必要があります。 次の表に、アカウント ID の例を示します。

リソース

アカウント ID

トランジットルーターインスタンス

253460731706911258

VPC インスタンス

283117732402483989

CCN インスタンス

271598332402530847

  1. シナリオ 3 の手順に従って、VPC を所有するアカウントでロールを作成し、承認を完了します。

  2. シナリオ 2 の手順に従って、VPC を所有するアカウントで CCN インスタンスの権限を追加します。

異なる Alibaba Cloud アカウントに属する複数の CCN インスタンスが PrivateZone サービスにアクセスする必要がある場合は、すべてを信頼ポリシーに追加する必要があります。

リソース

アカウント ID

トランジットルーターインスタンス

253460731706911258

VPC インスタンス

283117732402483989

CCN インスタンス 1

271598332402530847

CCN インスタンス 2

244831332402557259

CCN インスタンス 3

287683832402436789

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "smartag.aliyuncs.com",
          "271598332402530847@smartag.aliyuncs.com",
          "244831332402557259@smartag.aliyuncs.com",
          "287683832402436789@smartag.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

次のステップ

PrivateZone サービスへのアクセスの設定