すべてのプロダクト
Search

このプロダクト

    Cloud Backup:サービスにリンクされたロール

    ドキュメントセンター

    Cloud Backup:サービスにリンクされたロール

    最終更新日:Oct 16, 2024

    Elastic Compute service (ECS) 、Virtual Private Cloud (VPC) 、Object Storage Service (OSS) 、Apsara File Storage NAS (NAS) などのAlibaba Cloudサービスにアクセスするには、Cloud Backupが対応するサービスにリンクされた役割を引き受ける必要があります。 Cloud Backupは、バックアップ機能を有効にするか、バックアップ計画を作成するか、バックアップポリシーをデータソースに関連付けると、サービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールの自動作成に失敗した場合、またはCloud Backupが自動作成をサポートしていない場合は、サービスにリンクされたロールを手動で作成する必要があります。

    背景情報

    サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。 Cloud Backupは、他のクラウドサービスまたはクラウドリソースにアクセスするためのアクセス許可を取得するために、サービスにリンクされたロールを引き受けます。

    ほとんどの場合、操作を実行すると、システムはサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールの自動作成に失敗した場合、またはクラウドバックアップが自動作成をサポートしていない場合は、サービスにリンクされたロールを手動で作成する必要があります。

    RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 システムポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。 詳細については、「クラウドバックアップのシステムポリシー」をご参照ください。

    シナリオ

    Cloud Backupは、次のシナリオでサービスにリンクされたロールを自動的に作成します。

    重要

    Cloud Backupは、バックアップ機能を有効にするか、バックアップ計画を作成するか、バックアップポリシーをデータソースに関連付けると、サービスにリンクされたロールを自動的に作成します。

    • AliyunServiceRoleForHbrEcsBackup

      ECSバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrEcsBackupという名前のサービスにリンクされたロールを作成し、ECSおよびVPCリソースへのアクセス許可を取得します。

    • AliyunServiceRoleForHbrOssBackup

      OSSバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrOssBackupという名前のサービスにリンクされたロールを作成し、OSSリソースへのアクセス許可を取得します。

    • AliyunServiceRoleForHbrNasBackup

      NASバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrNasBackupという名前のサービスにリンクされたロールを作成し、NASリソースへのアクセス許可を取得します。

    • AliyunServiceRoleForHbrCsgBackup

      Cloud Storage Gateway (CSG) バックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrCsgBackupという名前のサービスにリンクされたロールを作成し、CSGリソースへのアクセス許可を取得します。

    • AliyunServiceRoleForHbrVaultEncryption

      Key Management Service (KMS) キーを使用してバックアップボールトを暗号化すると、Cloud Backupは自動的にAliyunServiceRoleForHbrVaultEncryptionという名前のサービスにリンクされたロールを作成し、KMSリソースへのアクセス許可を取得します。

    • AliyunServiceRoleForHbrOtsBackup

      Tablestoreバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrOtsBackupという名前のサービスにリンクされたロールを作成し、Tablestoreリソースへのアクセス許可を取得します。

    • AliyunServiceRoleForHbrCrossAccountBackup

      クロスアカウントバックアップ機能を使用すると、Cloud BackupはAliyunServiceRoleForHbrCrossAccountBackupという名前のサービスにリンクされたロールを自動的に作成し、他のクラウドサービスのリソースにアクセスするためのアクセス許可を取得します。

    • AliyunServiceRoleForHbrEcsEncryption

      ECSインスタンスのバックアップ時にクロスリージョンレプリケーション機能を有効にする場合は、KMSキーを指定する必要があります。 この場合、Cloud Backupは自動的にAliyunServiceRoleForHbrEcsEncryptionという名前のサービスにリンクされたロールを作成し、KMSのリソースにアクセスするためのアクセス許可を取得します。

    • AliyunServiceRoleForHbrMagpieBridge

      ECSファイルバックアップまたはオンプレミスのファイルバックアップ機能を使用すると、Cloud Backupはバックアップクライアントの通信モードに基づいてAliyunServiceRoleForHbrMagpieBridgeという名前のサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールにより、バックアップクライアントはクラウドバックアップリソースにアクセスできます。

    権限

    このセクションでは、Cloud Backupのサービスにリンクされた各ロールに付与される権限について説明します。

    • AliyunServiceRoleForHbrEcsBackup: ECSおよびVPCへのアクセス許可

       {
      "Action": [
        "ecs:RunCommand",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:StopInvocation",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeInvocations"
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:AttachInstanceRamRole",
        "ecs:DetachInstanceRamRole"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*",
        "acs:ram:*:*:role/aliyunecsaccessinghbrrole"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:GetRole",
        "ram:GetPolicy",
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:PassRole"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": [
            "ecs.aliyuncs.com"
          ]
        }
      }
    },
    {
      "Action": [
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeImages",
        "ecs:CreateImage",
        "ecs:DeleteImage",
        "ecs:DescribeSnapshots",
        "ecs:CreateSnapshot",
        "ecs:DeleteSnapshot",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeAvailableResource",
        "ecs:ModifyInstanceAttribute",
        "ecs:CreateInstance",
        "ecs:DeleteInstance",
        "ecs:AllocatePublicIpAddress",
        "ecs:CreateDisk",
        "ecs:DescribeDisks",
        "ecs:AttachDisk",
        "ecs:DetachDisk",
        "ecs:DeleteDisk",
        "ecs:ResetDisk",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:ModifyResourceMeta"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    • AliyunServiceRoleForHbrOssBackup: OSSへのアクセス許可

      {
      "Action": [
        "oss:ListObjects",
        "oss:HeadBucket",
        "oss:GetBucket",
        "oss:GetBucketAcl",
        "oss:GetBucketLocation",
        "oss:GetBucketInfo",
        "oss:PutObject",
        "oss:CopyObject",
        "oss:GetObject",
        "oss:AppendObject",
        "oss:GetObjectMeta",
        "oss:PutObjectACL",
        "oss:GetObjectACL",
        "oss:PutObjectTagging",
        "oss:GetObjectTagging",
        "oss:InitiateMultipartUpload",
        "oss:UploadPart",
        "oss:UploadPartCopy",
        "oss:CompleteMultipartUpload",
        "oss:AbortMultipartUpload",
        "oss:ListMultipartUploads",
        "oss:ListParts"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    • AliyunServiceRoleForHbrNasBackup: NASへのアクセス許可

      {
      "Action": [
        "nas:DescribeFileSystems",
        "nas:CreateMountTargetSpecial",
        "nas:DeleteMountTargetSpecial",
        "nas:CreateMountTarget",
        "nas:DeleteMountTarget",
        "nas:DescribeMountTargets",
        "nas:DescribeAccessGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    • AliyunServiceRoleForHbrCsgBackup: CSGにアクセスするためのアクセス許可

      {
      "Action": [
        "hcs-sgw:DescribeGateways"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    • AliyunServiceRoleForHbrVaultEncryption: バックアップコンテナーのKMSベースの暗号化を有効にする権限

      {
 "Statement": [
 {
  "Action": "ram:DeleteServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
   "StringEquals": {
    "ram:ServiceName": "vaultencryption.hbr.aliyuncs.com"
   }
  }
 },
 {
  "Action": [
  "kms:Decrypt"
  ],
  "Resource": "*",
  "Effect": "Allow"
 }
 ],
 "Version": "1"

}

    • AliyunServiceRoleForHbrOtsBackup: Tablestoreへのアクセス許可

      {
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "otsbackup.hbr.aliyuncs.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ots:ListTable",
        "ots:CreateTable",
        "ots:UpdateTable",
        "ots:DescribeTable",
        "ots:BatchWriteRow",
        "ots:CreateTunnel",
        "ots:DeleteTunnel",
        "ots:ListTunnel",
        "ots:DescribeTunnel",
        "ots:ConsumeTunnel",
        "ots:GetRange",
        "ots:ListStream",
        "ots:DescribeStream"
      ],
      "Resource": "*"
    }
  ]
}

    • AliyunServiceRoleForHbrCrossAccountBackup: クロスアカウントバックアップを実行するための権限

      {
  "Version": "1",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "crossbackup.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

    • AliyunServiceRoleForHbrEcsEncryption: クロスリージョンレプリケーションでKMSベースの暗号化を有効にするための権限

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ecsencryption.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

    • AliyunServiceRoleForHbrMagpieBridge: クライアントを使用してCloud Backupにアクセスするためのアクセス許可

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "hbr:ClientSendMessage",
        "hbr:ClientReceiveMessage"
      ],
      "Resource": "acs:hbr:*:*:messageClient/*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "magpiebridge.hbr.aliyuncs.com"
        }
      }
    }
  ]
}

    RAMユーザーがサービスにリンクされたロールを使用するために必要な権限

    RAMユーザーとしてサービスにリンクされたロールを作成または削除する場合は、管理者に連絡して、RAMユーザーにAliyunHBRFullAccess権限を付与するか、カスタムポリシーのActionステートメントに次の権限を追加する必要があります。

    • サービスにリンクされたロールの作成に必要な権限: ram:CreateServiceLinkedRole

    • サービスリンクロールを削除するために必要な権限: ram:DeleteServiceLinkedRole

    詳細については、「サービスにリンクされたロールの作成と削除に必要な権限」をご参照ください。

    サービスにリンクされたロールの表示

    サービスにリンクされたロールを作成した後、RAMコンソールの [ロール] ページでサービスにリンクされたロールに関する次の情報を表示できます。

    • 基本情報

      サービスにリンクされたロールの詳細ページの [基本情報] セクションで、ロール名、作成時刻、Alibaba Cloud Resource name (ARN) 、説明などのロールの基本情報を表示します。

    • ポリシー

      サービスにリンクされたロールの詳細ページの [権限] タブで、ポリシー名をクリックして、ポリシーの内容とロールがアクセスできるクラウドリソースを表示します。

    • 信頼ポリシー

      サービスにリンクされたロールの詳細ページの [信頼ポリシー] タブで、信頼ポリシーの内容を表示します。 信頼ポリシーは、RAMロールの信頼できるエンティティを記述します。 信頼できるエンティティは、RAMロールを引き受けることができるエンティティです。 サービスにリンクされたロールの信頼済みエンティティは、クラウドサービスです。 サービスにリンクされたロールの信頼できるエンティティを取得するには、信頼ポリシーのserviceパラメーターの値を表示します。

    サービスにリンクされたロールに関する情報を表示する方法の詳細については、「RAMロールに関する情報の表示」をご参照ください。

    サービスにリンクされたロールを削除する

    セキュリティを確保するために、サービスにリンクされたロールを削除する必要があります。 たとえば、ECSバックアップ機能を使用する必要がなくなった場合は、AliyunServiceRoleForHbrEcsBackupロールを削除できます。

    重要

    • サービスにリンクされたロールを削除すると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。

    • AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup、またはAliyunServiceRoleForHbrNasBackupロールを削除する前に、現在のアカウント内にバックアップコンテナーが存在しないことを確認してください。 それ以外の場合、ロールは削除されません。

    • AliyunServiceRoleForHbrVaultEncryptionロールを削除する前に、現在のアカウント内にKMS暗号化バックアップコンテナーが存在しないことを確認してください。 それ以外の場合、ロールは削除されません。

    • AliyunServiceRoleForHbrMagpieBridgeロールを削除する前に、ECSファイルバックアップまたはオンプレミスファイルバックアップ用のCloud Backupクライアントが現在のアカウント内でアンインストールされていることを確認してください。 それ以外の場合、ロールは削除されません。

    AliyunServiceRoleForHbrEcsBackupロールを削除するには、次の手順を実行します。

    1. RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ロール] を選択します。

    3. [ロール] ページで、検索ボックスにAliyunServiceRoleForHbrEcsBackupと入力してロールを検索します。

    4. [操作] 列の [ロールの削除] をクリックします。

    5. [ロールの削除] ダイアログボックスで、ロール名を入力し、[ロールの削除] をクリックします。

    詳細については、「RAMロールの削除」をご参照ください。

    AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrCsgBackup、AliyunServiceRoleForHbrVaultEncryption、AliyunServiceRoleForHbrEcsEncryptionなどのサービスにリンクされている他のロールを削除したい場合は、対応します。