すべてのプロダクト
Search

このプロダクト

    Cloud Backup:サービスリンクロール

    ドキュメントセンター

    Cloud Backup:サービスリンクロール

    最終更新日:Dec 31, 2025

    Cloud Backup は、サービスリンクロールを使用して、Elastic Compute Service (ECS)、Virtual Private Cloud (VPC)、Object Storage Service (OSS)、File Storage NAS などの他の Alibaba Cloud サービスのリソースにアクセスします。Cloud Backup は、バックアップ機能を有効化したり、バックアッププランを作成したり、バックアップポリシーをデータソースに関連付けたりすると、サービスリンクロールを自動的に作成します。自動作成に失敗した場合や、Cloud Backup が自動作成をサポートしていない場合は、サービスリンクロールを手動で作成する必要があります。

    背景情報

    サービスリンクロールは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。Cloud Backup はサービスリンクロールを偽装して、他のクラウドリソースへのアクセス権限を取得します。

    ほとんどの場合、操作を実行すると、システムは自動的にサービスリンクロールを作成します。自動作成に失敗した場合や、Cloud Backup が自動作成をサポートしていない場合は、サービスリンクロールを手動で作成する必要があります。

    Resource Access Management (RAM) は、各サービスリンクロールにシステムポリシーを提供します。システムポリシーは変更できません。特定のサービスリンクロールのシステムポリシーを表示するには、そのロールの詳細ページに移動します。詳細については、「Cloud Backup のシステムポリシー」をご参照ください。

    シナリオ

    Cloud Backup は、次のシナリオでサービスリンクロールを自動的に作成します。

    重要

    Cloud Backup は、バックアップ機能を有効化したり、バックアッププランを作成したり、バックアップポリシーをデータソースにアタッチしたりすると、サービスリンクロールを自動的に作成します。

    • AliyunServiceRoleForHbrEcsBackup

      ECS バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrEcsBackup という名前のサービスリンクロールを自動的に作成します。このロールは、ECS および VPC リソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrOssBackup

      OSS バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrOssBackup という名前のサービスリンクロールを自動的に作成します。このロールは、OSS リソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrNasBackup

      NAS バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrNasBackup という名前のサービスリンクロールを自動的に作成します。このロールは、NAS リソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrCsgBackup

      Cloud Storage Gateway (CSG) バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrCsgBackup という名前のサービスリンクロールを自動的に作成します。このロールは、CSG リソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrVaultEncryption

      Key Management Service (KMS) キーを使用してバックアップボールトを暗号化すると、Cloud Backup は AliyunServiceRoleForHbrVaultEncryption という名前のサービスリンクロールを自動的に作成します。このロールは、KMS リソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrOtsBackup

      Tablestore バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrOtsBackup という名前のサービスリンクロールを自動的に作成します。このロールは、Tablestore リソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrCrossAccountBackup

      RAM ロールの偽装に基づいてクロスアカウントバックアップを設定すると、Cloud Backup は AliyunServiceRoleForHbrCrossAccountBackup サービスリンクロールを自動的に作成します。このロールは、他の Alibaba Cloud サービスのリソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrRd

      リソースディレクトリに基づいてクロスアカウントバックアップを設定すると、Cloud Backup はバックアップするアカウントに AliyunServiceRoleForHbrRd サービスリンクロールを自動的に作成します。このロールは、他の Alibaba Cloud サービスのリソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrEcsEncryption

      ECS インスタンスのバックアップ機能を使用し、クロスリージョンレプリケーションを有効にする場合、ターゲットリージョンで暗号化用の KMS キーを指定する必要があります。この場合、Cloud Backup は AliyunServiceRoleForHbrEcsEncryption という名前のサービスリンクロールを自動的に作成します。このロールは、KMS のリソースにアクセスするために必要な権限を付与します。

    • AliyunServiceRoleForHbrMagpieBridge

      ECS ファイルバックアップおよびローカルファイルバックアップ機能を使用すると、Cloud Backup は、バックアップクライアントの通信方式に基づいて、AliyunServiceRoleForHbrMagpieBridge という名前のサービスリンクロールを自動的に作成します。このロールにより、バックアップクライアントは Cloud Backup サービスにアクセスできます。

    • AliyunServiceRoleForHbrPdsBackup

      データ同期機能を使用して Drive and Photo Service (PDS) データソースを作成すると、Cloud Backup は AliyunServiceRoleForHbrPdsBackup という名前のサービスリンクロールを自動的に作成します。このロールは、PDS リソースにアクセスするために必要な権限を付与します。

    権限

    このセクションでは、各 Cloud Backup サービスリンクロールに付与される権限について説明します。

    • AliyunServiceRoleForHbrEcsBackup:ECS と VPC にアクセスするための権限

       {
      "Action": [
        "ecs:RunCommand",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:StopInvocation",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeInvocations"
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:AttachInstanceRamRole",
        "ecs:DetachInstanceRamRole"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*",
        "acs:ram:*:*:role/aliyunecsaccessinghbrrole"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:GetRole",
        "ram:GetPolicy",
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:PassRole"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": [
            "ecs.aliyuncs.com"
          ]
        }
      }
    },
    {
      "Action": [
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeImages",
        "ecs:CreateImage",
        "ecs:DeleteImage",
        "ecs:DescribeSnapshots",
        "ecs:CreateSnapshot",
        "ecs:DeleteSnapshot",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeAvailableResource",
        "ecs:ModifyInstanceAttribute",
        "ecs:CreateInstance",
        "ecs:DeleteInstance",
        "ecs:AllocatePublicIpAddress",
        "ecs:CreateDisk",
        "ecs:DescribeDisks",
        "ecs:AttachDisk",
        "ecs:DetachDisk",
        "ecs:DeleteDisk",
        "ecs:ResetDisk",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:ModifyResourceMeta"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    • AliyunServiceRoleForHbrOssBackup:OSS にアクセスするための権限

      {
      "Action": [
        "oss:ListObjects",
        "oss:HeadBucket",
        "oss:GetBucket",
        "oss:GetBucketAcl",
        "oss:GetBucketLocation",
        "oss:GetBucketInfo",
        "oss:PutObject",
        "oss:CopyObject",
        "oss:GetObject",
        "oss:AppendObject",
        "oss:GetObjectMeta",
        "oss:PutObjectACL",
        "oss:GetObjectACL",
        "oss:PutObjectTagging",
        "oss:GetObjectTagging",
        "oss:InitiateMultipartUpload",
        "oss:UploadPart",
        "oss:UploadPartCopy",
        "oss:CompleteMultipartUpload",
        "oss:AbortMultipartUpload",
        "oss:ListMultipartUploads",
        "oss:ListParts"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    • AliyunServiceRoleForHbrNasBackup:NAS アクセス権限

      {
      "Action": [
        "nas:DescribeFileSystems",
        "nas:CreateMountTargetSpecial",
        "nas:DeleteMountTargetSpecial",
        "nas:CreateMountTarget",
        "nas:DeleteMountTarget",
        "nas:DescribeMountTargets",
        "nas:DescribeAccessGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    • AliyunServiceRoleForHbrCsgBackup:CSG にアクセスするための権限

      {
      "Action": [
        "hcs-sgw:DescribeGateways"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    • AliyunServiceRoleForHbrVaultEncryption:バックアップボールトの暗号化のために KMS にアクセスするための権限

      {
 "Statement": [
 {
  "Action": "ram:DeleteServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
   "StringEquals": {
    "ram:ServiceName": "vaultencryption.hbr.aliyuncs.com"
   }
  }
 },
 {
  "Action": [
  "kms:Decrypt"
  ],
  "Resource": "*",
  "Effect": "Allow"
 }
 ],
 "Version": "1"

}

    • AliyunServiceRoleForHbrOtsBackup:Tablestore にアクセスするための権限

      {
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "otsbackup.hbr.aliyuncs.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ots:ListTable",
        "ots:CreateTable",
        "ots:UpdateTable",
        "ots:DescribeTable",
        "ots:BatchWriteRow",
        "ots:CreateTunnel",
        "ots:DeleteTunnel",
        "ots:ListTunnel",
        "ots:DescribeTunnel",
        "ots:ConsumeTunnel",
        "ots:GetRange",
        "ots:ListStream",
        "ots:DescribeStream"
      ],
      "Resource": "*"
    }
  ]
}

    • AliyunServiceRoleForHbrCrossAccountBackup:クロスアカウントバックアップに必要な権限

      {
  "Version": "1",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "crossbackup.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

    • AliyunServiceRoleForHbrRd:クロスアカウントバックアップの権限

      {
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "rd.hbr.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "hbr:ClientSendMessage",
        "hbr:ClientReceiveMessage"
      ],
      "Resource": "acs:hbr:*:*:messageClient/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:RunCommand",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:StopInvocation",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeInvocations",
        "ecs:CreateSnapshotGroup",
        "ecs:DescribeSnapshotGroups",
        "ecs:DeleteSnapshotGroup",
        "ecs:CopySnapshot",
        "ecs:DescribeSnapshotLinks",
        "ecs:UntagResources",
        "ecs:ModifySnapshotCategory",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeImages",
        "ecs:CreateImage",
        "ecs:DeleteImage",
        "ecs:DescribeSnapshots",
        "ecs:CreateSnapshot",
        "ecs:ModifySnapshotAttribute",
        "ecs:DeleteSnapshot",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeAvailableResource",
        "ecs:ModifyInstanceAttribute",
        "ecs:CreateInstance",
        "ecs:DeleteInstance",
        "ecs:AllocatePublicIpAddress",
        "ecs:CreateDisk",
        "ecs:DescribeDisks",
        "ecs:AttachDisk",
        "ecs:DetachDisk",
        "ecs:DeleteDisk",
        "ecs:ResetDisk",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:ModifyResourceMeta",
        "ecs:TagResources",
        "ecs:GetSnapshotInfo",
        "ecs:GetSnapshotBlock",
        "ecs:ListSnapshotBlocks",
        "ecs:ListChangedBlocks"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:AttachInstanceRamRole",
        "ecs:DetachInstanceRamRole"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*",
        "acs:ram:*:*:role/aliyunecsaccessinghbrrole"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "nas:DescribeFileSystems",
        "nas:CreateMountTargetSpecial",
        "nas:DeleteMountTargetSpecial",
        "nas:CreateMountTarget",
        "nas:DeleteMountTarget",
        "nas:DescribeMountTargets",
        "nas:DescribeAccessGroups",
        "nas:CreateAccessGroup",
        "nas:CreateAccessRule",
        "nas:DescribeSmbAcl",
        "nas:DescribeAccessRules"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:ListBuckets",
        "oss:GetBucketTagging",
        "oss:GetBucketInventory",
        "oss:HeadBucket",
        "oss:GetBucket",
        "oss:GetBucketAcl",
        "oss:GetBucketLocation",
        "oss:GetBucketInfo",
        "oss:GetBucketStat",
        "oss:GetBucketVersioning",
        "oss:ListObjects"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:PutObject",
        "oss:CopyObject",
        "oss:GetObject",
        "oss:AppendObject",
        "oss:GetObjectMeta",
        "oss:PutObjectACL",
        "oss:GetObjectACL",
        "oss:PutObjectTagging",
        "oss:GetObjectTagging",
        "oss:InitiateMultipartUpload",
        "oss:UploadPart",
        "oss:UploadPartCopy",
        "oss:CompleteMultipartUpload",
        "oss:AbortMultipartUpload",
        "oss:ListMultipartUploads",
        "oss:ListParts",
        "oss:DeleteObject"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "oss:BucketSysTag/acs:hbr:backup": "true"
        }
      }
    },
    {
      "Action": [
        "ots:ListInstance",
        "ots:GetInstance",
        "ots:ListTable",
        "ots:CreateTable",
        "ots:UpdateTable",
        "ots:DescribeTable",
        "ots:BatchWriteRow",
        "ots:CreateTunnel",
        "ots:DeleteTunnel",
        "ots:ListTunnel",
        "ots:DescribeTunnel",
        "ots:ConsumeTunnel",
        "ots:GetRange",
        "ots:ListStream",
        "ots:DescribeStream",
        "ots:CreateIndex",
        "ots:CreateSearchIndex",
        "ots:DescribeSearchIndex",
        "ots:ListSearchIndex"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "bssapi:QueryAvailableInstances",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "cms:QueryMetricList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAlias"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "tag:ListResourcesByTag",
        "tag:ListTagResources",
        "tag:ListTagKeys",
        "tag:ListTagValues"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

    • AliyunServiceRoleForHbrEcsEncryption:KMS にアクセスし、クロスリージョンレプリケーションを有効にする権限を付与します。

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ecsencryption.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

    • AliyunServiceRoleForHbrMagpieBridge:Cloud Backup クライアントに Cloud Backup サービスへのアクセス権限を付与します。

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "hbr:ClientSendMessage",
        "hbr:ClientReceiveMessage"
      ],
      "Resource": "acs:hbr:*:*:messageClient/*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "magpiebridge.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

    • AliyunServiceRoleForHbrPdsBackup:Drive and Photo Service へのアクセス権限を付与します

      {
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "pdsbackup.hbr.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "pds:ListDomains",
        "pds:GetDomain",
        "pds:ListDrive",
        "pds:GetDrive",
        "pds:CreateFile",
        "pds:GetFile",
        "pds:ListFiles",
        "pds:DownloadFile"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

    RAM ユーザーがサービスリンクロールを使用するための権限

    RAM ユーザーを使用してサービスリンクロールを作成または削除する場合、管理者は RAM ユーザーに管理者権限 (AliyunHBRFullAccess) を付与するか、カスタムポリシーの Action 文に次の権限を追加する必要があります。

    • サービスリンクロールの作成:ram:CreateServiceLinkedRole

    • サービスリンクロールの削除:ram:DeleteServiceLinkedRole

    詳細については、「サービスリンクロールの管理に必要な権限」をご参照ください。

    サービスリンクロールの表示

    サービスリンクロールが作成された後、RAM コンソールの [ロール] ページで、ロールに関する次の情報を表示できます。

    • 基本情報

      サービスリンクロールの詳細ページの 基本情報 セクションで、ロール名、作成時間、Alibaba Cloud リソースネーム (ARN)、説明など、ロールの基本情報を表示できます。

    • アクセスポリシー

      サービスリンクロールの詳細ページの 権限管理 タブで、ポリシー名をクリックして、ポリシードキュメントとロールがアクセスを許可されているクラウドリソースを表示します。

    • 信頼ポリシー

      ロール詳細ページの 信頼ポリシー管理 タブで、信頼ポリシーを表示できます。信頼ポリシーは、RAM ロールを偽装できる信頼できるエンティティを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、信頼ポリシーの Service フィールドで指定されます。

    サービスリンクロールの表示方法の詳細については、「RAM ロールの表示」をご参照ください。

    サービスリンクロールの削除

    ECS バックアップ機能を使用しなくなった場合は、セキュリティ上の理由からサービスリンクロールを削除してください。

    重要

    • サービスリンクロールを削除すると、そのロールに依存する機能は使用できなくなります。操作は慎重に行ってください。

    • サービスリンクロールを削除する前に、それに依存するすべてのリソースを削除する必要があります。そうしないと、ロールを削除できません。要件は次のとおりです。

      • AliyunServiceRoleForHbrEcsBackup:バックアップリポジトリが存在しないこと。ECS ファイルバックアップ Essential Edition インスタンスのすべてのバックアップがキャンセルされ、すべての ECS バックアップ Essential Edition インスタンスがデタッチまたは削除されていること。

      • AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup、AliyunServiceRoleForHbrOtsBackup、AliyunServiceRoleForHbrCsgBackup、または AliyunServiceRoleForHbrCrossAccountBackup:現在のアカウントにバックアップボールトが存在しないこと。

      • AliyunServiceRoleForHbrEcsEncryption:バックアップポリシーがアタッチされているときに、ECS インスタンスバックアップのクロスリージョンレプリケーションデータを暗号化するために KMS キーが指定されていないこと。

      • AliyunServiceRoleForHbrVaultEncryption:暗号化に KMS を使用するバックアップボールトが存在しないこと。

      • AliyunServiceRoleForHbrMagpieBridge:ECS ファイルバックアップおよびローカルファイルクライアントがアンインストールされていること。

      • AliyunServiceRoleForHbrPdsBackup:現在のアカウントでデータ同期に利用できる PDS データソースがないこと。

    以下の手順では、AliyunServiceRoleForHbrEcsBackup ロールを削除する方法について説明します。

    説明

    他の Cloud Backup サービスリンクロールを削除する手順も同様です。RAM ロール名を、削除したいロールの名前に置き換えてください。

    1. RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ID 管理 > ロールを選択します。

    3. ロール ページで、検索ボックスに AliyunServiceRoleForHbrEcsBackup と入力して、AliyunServiceRoleForHbrEcsBackup RAM ロールを検索します。

    4. アクション 列で、ロールを削除 をクリックします。

    5. ロールを削除 ダイアログボックスで、ロール名を再度入力し、ロールを削除 をクリックします。

    詳細については、「RAM ロールの削除」をご参照ください。