Service-linked role - Cloud Backup - Alibaba Cloud ドキュメントセンター

Elastic Compute Service (ECS)、Virtual Private Cloud (VPC)、Object Storage Service (OSS)、File Storage NAS (NAS) などの Alibaba Cloud サービスにアクセスするには、Cloud Backup は対応するサービスリンクロールを引き受ける必要があります。Cloud Backup は、バックアップ機能を有効化したり、バックアッププランを作成したり、バックアップポリシーをデータソースに関連付けたりする際に、サービスリンクロールを自動的に作成します。サービスリンクロールの自動作成に失敗した場合、または Cloud Backup が自動作成をサポートしていない場合は、手動でサービスリンクロールを作成する必要があります。

背景情報

サービスリンクロールは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。Cloud Backup はサービスリンクロールを引き受けて、他のクラウドサービスやクラウドリソースにアクセスするための権限を取得します。

ほとんどの場合、操作を実行するとシステムが自動的にサービスリンクロールを作成します。サービスリンクロールの自動作成に失敗した場合、または Cloud Backup が自動作成をサポートしていない場合は、手動でサービスリンクロールを作成する必要があります。

RAM は、各サービスリンクロールに対してシステムポリシーを提供します。システムポリシーは変更できません。特定のサービスリンクロールのシステムポリシーに関する情報を表示するには、そのロールの詳細ページに移動します。詳細については、「Cloud Backup のシステムポリシー」をご参照ください。

シナリオ

Cloud Backup は、次のシナリオでサービスリンクロールを自動的に作成します。

重要

Cloud Backup は、バックアップ機能を有効化したり、バックアッププランを作成したり、バックアップポリシーをデータソースに関連付けたりする際に、サービスリンクロールを自動的に作成します。

AliyunServiceRoleForHbrEcsBackup
ECS バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrEcsBackup という名前のサービスリンクロールを自動的に作成します。このロールは、ECS および VPC リソースへのアクセスに必要な権限を付与します。
AliyunServiceRoleForHbrOssBackup
OSS バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrOssBackup という名前のサービスリンクロールを自動的に作成します。このロールは、OSS リソースへのアクセスに必要な権限を付与します。
AliyunServiceRoleForHbrNasBackup
NAS バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrNasBackup という名前のサービスリンクロールを自動的に作成します。このロールは、NAS リソースへのアクセスに必要な権限を付与します。
AliyunServiceRoleForHbrCsgBackup
Cloud Storage Gateway (CSG) バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrCsgBackup という名前のサービスリンクロールを自動的に作成します。このロールは、CSG リソースへのアクセスに必要な権限を付与します。
AliyunServiceRoleForHbrVaultEncryption
Key Management Service (KMS) キーを使用してバックアップボールトを暗号化する場合、Cloud Backup は AliyunServiceRoleForHbrVaultEncryption という名前のサービスリンクロールを自動的に作成します。このロールは、KMS リソースへのアクセスに必要な権限を付与します。
AliyunServiceRoleForHbrOtsBackup
Tablestore バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrOtsBackup という名前のサービスリンクロールを自動的に作成します。このロールは、Tablestore リソースへのアクセスに必要な権限を付与します。
AliyunServiceRoleForHbrCrossAccountBackup
アカウント間バックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrCrossAccountBackup という名前のサービスリンクロールを自動的に作成します。このロールは、他の Alibaba Cloud サービス内のリソースにアクセスするために必要な権限を付与します。
AliyunServiceRoleForHbrEcsEncryption
ECS インスタンスのバックアップ機能を使用し、クロスリージョンレプリケーションを有効にする場合、ターゲットリージョンで暗号化用の KMS キーを指定する必要があります。この場合、Cloud Backup は AliyunServiceRoleForHbrEcsEncryption という名前のサービスリンクロールを自動的に作成します。このロールは、KMS 内のリソースにアクセスするために必要な権限を付与します。
AliyunServiceRoleForHbrMagpieBridge
ECS ファイルバックアップ機能とローカルファイルバックアップ機能を使用すると、Cloud Backup は AliyunServiceRoleForHbrMagpieBridge という名前のサービスリンクロールを自動的に作成します。このロールにより、バックアップクライアントは Cloud Backup サービスと通信し、アクセスできるようになります。
AliyunServiceRoleForHbrPdsBackup
データ同期機能を使用して Drive and Photo Service (PDS) データソースを作成すると、Cloud Backup は AliyunServiceRoleForHbrPdsBackup という名前のサービスリンクロールを自動的に作成します。このロールは、PDS リソースへのアクセスに必要な権限を付与します。

権限

Cloud Backup の各サービスリンクロールに付与される権限について説明します。

AliyunServiceRoleForHbrEcsBackup：ECS および VPC にアクセスするための権限

 {
      "Action": [
        "ecs:RunCommand",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:StopInvocation",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeInvocations"
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:AttachInstanceRamRole",
        "ecs:DetachInstanceRamRole"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*",
        "acs:ram:*:*:role/aliyunecsaccessinghbrrole"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:GetRole",
        "ram:GetPolicy",
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:PassRole"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": [
            "ecs.aliyuncs.com"
          ]
        }
      }
    },
    {
      "Action": [
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeImages",
        "ecs:CreateImage",
        "ecs:DeleteImage",
        "ecs:DescribeSnapshots",
        "ecs:CreateSnapshot",
        "ecs:DeleteSnapshot",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeAvailableResource",
        "ecs:ModifyInstanceAttribute",
        "ecs:CreateInstance",
        "ecs:DeleteInstance",
        "ecs:AllocatePublicIpAddress",
        "ecs:CreateDisk",
        "ecs:DescribeDisks",
        "ecs:AttachDisk",
        "ecs:DetachDisk",
        "ecs:DeleteDisk",
        "ecs:ResetDisk",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:ModifyResourceMeta"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

AliyunServiceRoleForHbrOssBackup：OSS にアクセスするための権限

{
      "Action": [
        "oss:ListObjects",
        "oss:HeadBucket",
        "oss:GetBucket",
        "oss:GetBucketAcl",
        "oss:GetBucketLocation",
        "oss:GetBucketInfo",
        "oss:PutObject",
        "oss:CopyObject",
        "oss:GetObject",
        "oss:AppendObject",
        "oss:GetObjectMeta",
        "oss:PutObjectACL",
        "oss:GetObjectACL",
        "oss:PutObjectTagging",
        "oss:GetObjectTagging",
        "oss:InitiateMultipartUpload",
        "oss:UploadPart",
        "oss:UploadPartCopy",
        "oss:CompleteMultipartUpload",
        "oss:AbortMultipartUpload",
        "oss:ListMultipartUploads",
        "oss:ListParts"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

AliyunServiceRoleForHbrNasBackup：NAS にアクセスするための権限

{
      "Action": [
        "nas:DescribeFileSystems",
        "nas:CreateMountTargetSpecial",
        "nas:DeleteMountTargetSpecial",
        "nas:CreateMountTarget",
        "nas:DeleteMountTarget",
        "nas:DescribeMountTargets",
        "nas:DescribeAccessGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

AliyunServiceRoleForHbrCsgBackup：CSG にアクセスするための権限

{
      "Action": [
        "hcs-sgw:DescribeGateways"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

AliyunServiceRoleForHbrVaultEncryption：バックアップボールトの KMS ベースの暗号化を有効にするための権限

{
 "Statement": [
 {
  "Action": "ram:DeleteServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
   "StringEquals": {
    "ram:ServiceName": "vaultencryption.hbr.aliyuncs.com"
   }
  }
 },
 {
  "Action": [
  "kms:Decrypt"
  ],
  "Resource": "*",
  "Effect": "Allow"
 }
 ],
 "Version": "1"

}

AliyunServiceRoleForHbrOtsBackup：Tablestore にアクセスするための権限

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "otsbackup.hbr.aliyuncs.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ots:ListTable",
        "ots:CreateTable",
        "ots:UpdateTable",
        "ots:DescribeTable",
        "ots:BatchWriteRow",
        "ots:CreateTunnel",
        "ots:DeleteTunnel",
        "ots:ListTunnel",
        "ots:DescribeTunnel",
        "ots:ConsumeTunnel",
        "ots:GetRange",
        "ots:ListStream",
        "ots:DescribeStream"
      ],
      "Resource": "*"
    }
  ]
}

AliyunServiceRoleForHbrCrossAccountBackup：アカウント間バックアップを実行するための権限

{
  "Version": "1",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "crossbackup.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForHbrEcsEncryption：クロスリージョンレプリケーションの KMS ベースの暗号化を有効にするための権限

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ecsencryption.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForHbrMagpieBridge：クライアントを使用して Cloud Backup にアクセスするための権限

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "hbr:ClientSendMessage",
        "hbr:ClientReceiveMessage"
      ],
      "Resource": "acs:hbr:*:*:messageClient/*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "magpiebridge.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForHbrPdsBackup：Drive and Photo Service にアクセスするための権限

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "pdsbackup.hbr.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "pds:ListDomains",
        "pds:GetDomain",
        "pds:ListDrive",
        "pds:GetDrive",
        "pds:CreateFile",
        "pds:GetFile",
        "pds:ListFiles",
        "pds:DownloadFile"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

RAM ユーザーがサービスリンクロールを使用するために必要な権限

RAM ユーザーを使用してサービスリンクロールを作成または削除する場合、管理者はその RAM ユーザーに管理者権限 (AliyunHBRFullAccess) を付与するか、カスタムポリシーの Action 文に次の権限を追加する必要があります。

サービスリンクロールの作成：ram:CreateServiceLinkedRole
サービスリンクロールの削除：ram:DeleteServiceLinkedRole

詳細については、「サービスリンクロールの作成と削除に必要な権限」をご参照ください。

サービスリンクロールの表示

サービスリンクロールが作成された後、RAM コンソールの [ロール] ページで、サービスリンクロールに関する次の情報を表示できます。

基本情報
サービスリンクロールの詳細ページの [基本情報] セクションで、ロール名、作成時刻、Alibaba Cloud リソース名 (ARN)、説明など、ロールの基本情報を表示します。
ポリシー
サービスリンクロールの詳細ページの [権限] タブで、ポリシー名をクリックしてポリシーの内容とロールがアクセスできるクラウドリソースを表示します。
信頼ポリシー
ロール詳細ページの [信頼ポリシー] タブで、信頼ポリシーを表示できます。信頼ポリシーは、RAM ロールを引き受けることができる信頼できるエンティティを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、信頼ポリシーの Service フィールドで表示できます。

サービスリンクロールに関する情報の表示方法の詳細については、「RAM ロールに関する情報の表示」をご参照ください。

サービスリンクロールの削除

セキュリティを確保するために、サービスリンクロールを削除する必要がある場合があります。たとえば、ECS バックアップ機能を使用しなくなった場合は、AliyunServiceRoleForHbrEcsBackup ロールを削除できます。

重要

サービスリンクロールを削除すると、そのロールに依存する機能は使用できなくなります。操作は慎重に行ってください。
サービスリンクロールを削除する前に、依存するすべてのバックアップリソースを削除する必要があります。そうしないと、ロールは削除できません。要件は次のとおりです。
- AliyunServiceRoleForHbrEcsBackup：すべてのバックアップボールトを削除する必要があります。ECS File Backup Essential Edition のすべてのインスタンスのバックアップをキャンセルし、ECS Backup Essential Edition のすべてのインスタンスをバインド解除または削除する必要があります。
- AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup、AliyunServiceRoleForHbrOtsBackup、AliyunServiceRoleForHbrCsgBackup、または AliyunServiceRoleForHbrCrossAccountBackup：現在のアカウントにバックアップリポジトリが存在しないこと。
- AliyunServiceRoleForHbrEcsEncryption：KMS キーを指定せずにバックアップポリシーを関連付ける際に、ECS インスタンスバックアップのクロスリージョンレプリケーションを暗号化するために使用されます。
- AliyunServiceRoleForHbrVaultEncryption：KMS を使用して暗号化するバックアップリポジトリがないこと。
- AliyunServiceRoleForHbrMagpieBridge：ECS ファイルバックアップクライアントとローカルファイルクライアントをアンインストールする必要があります。
- AliyunServiceRoleForHbrPdsBackup：現在のアカウントでデータ同期に利用できる PDS データソースがないこと。

AliyunServiceRoleForHbrEcsBackup ロールを削除する手順は次のとおりです。

説明

他の Cloud Backup サービスリンクロールを削除する手順も同様です。RAM ロール名を、削除したいロールの名前に置き換えることができます。

RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID 管理] > [ロール] を選択します。
[ロール] ページで、検索ボックスに AliyunServiceRoleForHbrEcsBackup と入力してロールを検索します。
[操作] 列の [ロールの削除] をクリックします。
[ロールの削除] ダイアログボックスで、ロール名を入力し、[ロールの削除] をクリックします。

詳細については、「RAM ロールの削除」をご参照ください。