すべてのプロダクト
Search

このプロダクト

    Cloud Parallel File Storage:サービスリンクロール

    ドキュメントセンター

    Cloud Parallel File Storage:サービスリンクロール

    最終更新日:Dec 28, 2024

    このトピックでは、Cloud Parallel File Storage (CPFS) のサービスリンクロールと、サービスリンクロールを削除する方法について説明します。

    背景

    サービスリンクロールとは、信頼エンティティがAlibaba CloudサービスであるResource Access Management (RAM) ロールです。サービスリンクロールを使用して、他のAlibaba Cloudサービスまたはリソースにアクセスできます。

    ほとんどの場合、CPFSはサービスリンクロールを自動的に作成します。サービスリンクロールの自動作成中にエラーが発生した場合、またはCPFSがサービスリンクロールの自動作成をサポートしていない場合は、ロールを手動で作成する必要があります。

    RAMは、各サービスリンクロールにシステムポリシーを提供します。ポリシーを変更することはできません。特定のサービスリンクロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。

    説明

    サービスリンクロールの詳細については、サービスリンクロールを参照してください。

    ロール一覧

    このセクションでは、CPFSのサービスリンクロールと、サービスリンクロールが適用されるシナリオについて説明します。

    • AliyunServiceRoleForNasCpfsNetwork

      弾性ネットワークインターフェース (ENI) またはセキュリティグループを作成または削除するには、CPFSはAliyunServiceRoleForNasCpfsNetworkロールを引き受けて、Virtual Private Cloud (VPC) およびElastic Compute Service (ECS) サービスにアクセスします。

    • AliyunServiceRoleForNasCpfsClient

      ECSインスタンス、Cloud Assistantインスタンス、認証情報、またはセキュリティグループを作成または削除するには、CPFSはAliyunServiceRoleForNasCpfsClientロールを引き受けて、VPCおよびECSサービスにアクセスします。

    • AliyunServiceRoleForNasOssDataFlow

      CPFSファイルシステムのデータフロー機能を使用するには、CPFSはAliyunServiceRoleForNasOssDataFlowロールを引き受けて、Object Storage Service (OSS) の指定されたバケット内のデータのクエリ、読み取り、および書き込みを行います。

    • AliyunServiceRoleForNasEventNotification

      CPFSファイルシステムのデータフロー機能を使用するには、CPFSはAliyunServiceRoleForNasEventNotificationロールを引き受けて、EventBridgeパラメータを作成および変更します。

    詳細については、サービスリンクロールを参照してください。

    権限

    このセクションでは、CPFSのサービスリンクロールにアタッチされている権限ポリシーについて説明します。

    AliyunServiceRoleForNasCpfsNetwork

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "vpc:DescribeVSwitchAttributes",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:CreateSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "acs:ecs:*:*:*/*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "ecs:tag/nas:cpfs": "true"
                }
            }
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "cpfs-network.nas.aliyuncs.com"
                }
            }
        }
    ]
}

    AliyunServiceRoleForNasCpfsClient

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:RunInstances",
 "ecs:CreateInstance",
 "ecs:DescribeInstances",
 "ecs:CreateSecurityGroup",
 "ecs:DescribeSecurityGroups",
 "ecs:InstallCloudAssistant",
 "ecs:DescribeInvocations"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:StartInstances",
 "ecs:DeleteInstances",
 "ecs:RunCommand",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup",
 "ecs:AuthorizeSecurityGroup",
 "ecs:AuthorizeSecurityGroupEgress",
 "ecs:RevokeSecurityGroup",
 "ecs:RevokeSecurityGroupEgress"
 ],
 "Resource": "acs:ecs:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "ecs:tag/nas:cpfs": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "cpfs-client.nas.aliyuncs.com"
 }
 }
 } 
 ]
 }

    AliyunServiceRoleForNasOssDataFlow

    {
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "oss:ListBuckets",
 "oss:GetBucketTagging"
 ],
 "Resource": [
 "acs:oss:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "oss:HeadBucket",
 "oss:GetBucketLocation",
 "oss:GetBucketInventory",
 "oss:GetBucketInfo",
 "oss:GetBucketVersion",
 "oss:GetBucketAcl",
 "oss:GetBucketStat",
 "oss:GetBucket",
 "oss:ListObjects",
 "oss:GetObject",
 "oss:PutObject",
 "oss:CopyObject",
 "oss:AppendObject",
 "oss:DeleteObject",
 "oss:GetObjectMeta",
 "oss:PutObjectACL",
 "oss:GetObjectACL",
 "oss:PutObjectTagging",
 "oss:GetObjectTagging",
 "oss:InitiateMultipartUpload",
 "oss:CompleteMultipartUpload",
 "oss:AbortMultipartUpload",
 "oss:ListMultipartUploads",
 "oss:UploadPart",
 "oss:UploadPartCopy",
 "oss:ListParts"
 ],
 "Resource": [
 "acs:oss:*:*:*",
 "acs:oss:*:*:*/*"
 ],
 "Condition": {
 "StringEqualsIgnoreCase": {
 "oss:tag/cpfs-dataflow": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "oss-dataflow.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

    AliyunServiceRoleForNasEventNotification

    {
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetEventBus",
 "eventbridge:CreateRule"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetRule",
 "eventbridge:ListRules",
 "eventbridge:UpdateRule",
 "eventbridge:EnableRule",
 "eventbridge:DisableRule",
 "eventbridge:DeleteRule",
 "eventbridge:CreateTargets",
 "eventbridge:UpdateTargets",
 "eventbridge:DeleteTargets"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "event-notification.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

    RAMユーザーがサービスリンクロールを使用するために必要な権限

    RAMユーザーを使用してサービスリンクロールを作成または削除する場合は、管理者に連絡して、RAMユーザーにAliyunNASFullAccess権限を付与するか、カスタムポリシーのActionステートメントに次の権限を追加する必要があります。

    • サービスリンクロールを作成する:ram:CreateServiceLinkedRole

    • サービスリンクロールを削除する:ram:DeleteServiceLinkedRole

    詳細については、サービスリンクロールの作成と削除に必要な権限を参照してください。

    サービスリンクロールを表示する

    サービスリンクロールが作成された後、RAMコンソールのロールの詳細ページに移動して、ロールの詳細を表示できます。サービスリンクロールの詳細は、次の情報を含みます。

    • 基本情報

      AliyunServiceRoleForNasStandardロールの詳細ページの基本情報セクションで、ロール名、作成時刻、Alibaba Cloud Resource Name (ARN)、説明など、ロールの基本情報を表示します。

    • ポリシー

      AliyunServiceRoleForNasStandardロールの詳細ページの権限タブで、ポリシー名をクリックして、ポリシーの内容とロールがアクセスできるクラウドリソースを表示します。

    • 信頼ポリシー

      AliyunServiceRoleForNasStandardロールの詳細ページの信頼ポリシータブで、信頼ポリシーの内容を表示します。信頼ポリシーは、RAMロールの信頼エンティティについて説明します。信頼エンティティとは、RAMロールを引き受けることができるエンティティを指します。サービスリンクロールの信頼エンティティはクラウドサービスです。サービスリンクロールの信頼エンティティを取得するには、信頼ポリシーのServiceパラメータの値を表示します。

    サービスリンクロールに関する情報を表示する方法の詳細については、RAMロールに関する情報を表示するを参照してください。

    CPFSのサービスリンクロールを削除する

    不要になったサービスリンクロールを削除できます。たとえば、CPFSファイルシステムのデータフロー機能を使用する必要がなくなった場合は、対応するサービスリンクロールを削除できます。サービスリンクロールを削除する前に、サービスリンクロールを引き受けるCPFSファイルシステムインスタンスを削除する必要があります。詳細については、凌雲向けCPFSファイルシステムを削除するサービスリンクロールを削除するを参照してください。

    重要

    サービスリンクロールを削除すると、ロールに依存する機能は使用できなくなります。注意して進めてください。

    FAQ

    RAMユーザーとしてログオンすると、CPFSのサービスリンクロールが自動的に作成されないのはなぜですか?

    RAMユーザーとしてログオンしたときに、CPFSのサービスリンクロールが自動的に作成または削除されるようにするには、RAMユーザーに必要な権限を付与する必要があります。次のシステムポリシーとカスタムポリシーをRAMユーザーにアタッチできます。詳細については、RAMロールに権限を付与するを参照してください。

    • システムポリシー

      • AliyunVPCFullAccess:VPCに対するフルアクセス権限を付与します。

      • AliyunBSSFullAccess:課金管理に対するフルアクセス権限を付与します。

      • AliyunNASFullAccess:NASに対するフルアクセス権限を付与します。

      • AliyunECSNetworkInterfaceManagementAccess:ECS ENIを管理するための権限を付与します。

    • カスタムポリシー

      • cpfs-network.nas.aliyuncs.comおよびcpfs-client.nas.aliyuncs.comに対する権限は、マウントターゲットの管理に必要です。

      • oss-dataflow.nas.aliyuncs.comおよびevent-notification.nas.aliyuncs.comに対する権限は、データフローの管理に必要です。

      カスタムポリシーの例:

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": { 
         "ram:ServiceName": [
            "cpfs-network.nas.aliyuncs.com",
            "cpfs-client.nas.aliyuncs.com",
            "oss-dataflow.nas.aliyuncs.com",
            "event-notification.nas.aliyuncs.com" 
         ]
        }
      }
    }
  ]
}