すべてのプロダクト
Search

このプロダクト

    Cloud Parallel File Storage:Cloud Parallel File Storage のサービスリンクロール

    ドキュメントセンター

    Cloud Parallel File Storage:Cloud Parallel File Storage のサービスリンクロール

    最終更新日:Nov 09, 2025

    Cloud Parallel File Storage (CPFS) ファイルシステムの機能を有効にすると、File Storage NAS は CPFS のサービスリンクロールを自動的に作成します。このロールは、CPFS に Elastic Compute Service (ECS) や Virtual Private Cloud (VPC) などの他の Alibaba Cloud サービスにアクセスするための権限を付与します。

    背景情報

    サービスリンクロールは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールの一種です。Cloud Parallel File Storage (CPFS) は、サービスリンクロールを使用して、他の Alibaba Cloud サービスやクラウドリソースにアクセスするための権限を取得します。

    通常、サービスリンクロールは操作を実行すると自動的に作成されます。自動作成に失敗した場合、または CPFS が自動作成をサポートしていない場合は、サービスリンクロールを手動で作成する必要があります。

    Resource Access Management (RAM) は、各サービスリンクロールにシステムポリシーを提供します。このポリシーは変更できません。ポリシードキュメントを表示するには、特定のサービスリンクロールの製品ページに移動します。

    説明

    サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。

    シナリオ

    CPFS のサービスリンクロールは、次のシナリオで使用されます。

    • AliyunServiceRoleForNasCpfsNetwork

      伸縮性のあるネットワークインターフェース (ENI) またはセキュリティグループを作成または削除するために、CPFS は AliyunServiceRoleForNasCpfsNetwork ロールを偽装して、お使いの Virtual Private Cloud (VPC) および Elastic Compute Service (ECS) サービスにアクセスします。

    • AliyunServiceRoleForNasCpfsClient

      ECS インスタンス、クラウドアシスタントインスタンス、任意の権限付与情報、またはセキュリティグループを作成または削除するために、CPFS は AliyunServiceRoleForNasCpfsClient ロールを偽装して、お使いの VPC および ECS サービスにアクセスします。

    • AliyunServiceRoleForNasOssDataFlow

      CPFS ファイルシステムのデータフロー機能を使用する場合、CPFS は AliyunServiceRoleForNasOssDataFlow ロールを偽装して、Object Storage Service (OSS) の指定されたバケット内のデータをクエリ、読み取り、書き込みします。

    • AliyunServiceRoleForNasEventNotification

      CPFS ファイルシステムのデータフロー機能を使用する場合、CPFS は AliyunServiceRoleForNasEventNotification ロールを偽装して、EventBridge パラメーターを作成および変更します。

    詳細については、「サービスリンクロール」をご参照ください。

    権限

    このセクションでは、CPFS のサービスリンクロールにアタッチされている権限ポリシーについて説明します。

    AliyunServiceRoleForNasCpfsNetwork

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "vpc:DescribeVSwitchAttributes",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:CreateSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "acs:ecs:*:*:*/*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "ecs:tag/nas:cpfs": "true"
                }
            }
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "cpfs-network.nas.aliyuncs.com"
                }
            }
        }
    ]
}

    AliyunServiceRoleForNasCpfsClient

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:RunInstances",
 "ecs:CreateInstance",
 "ecs:DescribeInstances",
 "ecs:CreateSecurityGroup",
 "ecs:DescribeSecurityGroups",
 "ecs:InstallCloudAssistant",
 "ecs:DescribeInvocations"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:StartInstances",
 "ecs:DeleteInstances",
 "ecs:RunCommand",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup",
 "ecs:AuthorizeSecurityGroup",
 "ecs:AuthorizeSecurityGroupEgress",
 "ecs:RevokeSecurityGroup",
 "ecs:RevokeSecurityGroupEgress"
 ],
 "Resource": "acs:ecs:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "ecs:tag/nas:cpfs": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "cpfs-client.nas.aliyuncs.com"
 }
 }
 } 
 ]
 }

    AliyunServiceRoleForNasOssDataFlow

    {
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "oss:ListBuckets",
 "oss:GetBucketTagging"
 ],
 "Resource": [
 "acs:oss:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "oss:HeadBucket",
 "oss:GetBucketLocation",
 "oss:GetBucketInventory",
 "oss:GetBucketInfo",
 "oss:GetBucketVersion",
 "oss:GetBucketAcl",
 "oss:GetBucketStat",
 "oss:GetBucket",
 "oss:ListObjects",
 "oss:GetObject",
 "oss:PutObject",
 "oss:CopyObject",
 "oss:AppendObject",
 "oss:DeleteObject",
 "oss:GetObjectMeta",
 "oss:PutObjectACL",
 "oss:GetObjectACL",
 "oss:PutObjectTagging",
 "oss:GetObjectTagging",
 "oss:InitiateMultipartUpload",
 "oss:CompleteMultipartUpload",
 "oss:AbortMultipartUpload",
 "oss:ListMultipartUploads",
 "oss:UploadPart",
 "oss:UploadPartCopy",
 "oss:ListParts"
 ],
 "Resource": [
 "acs:oss:*:*:*",
 "acs:oss:*:*:*/*"
 ],
 "Condition": {
 "StringEqualsIgnoreCase": {
 "oss:tag/cpfs-dataflow": "true"
 }
 }
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "oss-dataflow.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

    AliyunServiceRoleForNasEventNotification

    {
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetEventBus",
 "eventbridge:CreateRule"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "eventbridge:GetRule",
 "eventbridge:ListRules",
 "eventbridge:UpdateRule",
 "eventbridge:EnableRule",
 "eventbridge:DisableRule",
 "eventbridge:DeleteRule",
 "eventbridge:CreateTargets",
 "eventbridge:UpdateTargets",
 "eventbridge:DeleteTargets"
 ],
 "Resource": [
 "acs:eventbridge:*:*:*"
 ]
 },
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "event-notification.nas.aliyuncs.com"
 }
 }
 }
 ],
 "Version": "1"
}

    RAM ユーザーがサービスリンクロールを使用するために必要な権限

    Resource Access Management (RAM) ユーザーを使用してサービスリンクロールを作成または削除する場合は、管理者に連絡して、RAM ユーザーに管理者権限 (AliyunNASFullAccess) を付与してください。または、RAM ユーザーのカスタムポリシーの Action 文に次の権限を追加することもできます:

    • サービスリンクロールの作成: ram:CreateServiceLinkedRole

    • サービスリンクロールの削除: ram:DeleteServiceLinkedRole

    権限を付与する方法の詳細については、「サービスリンクロールの作成と削除に必要な権限」をご参照ください。

    サービスリンクロールの表示

    サービスリンクロールが作成されたら、Resource Access Management (RAM) コンソールのロールページに移動します。AliyunServiceRoleForNasStandard などの名前でサービスリンクロールを検索して、ロールに関する次の情報を表示できます:

    • 基本情報

      AliyunServiceRoleForNasStandard ロールの製品ページの [基本情報] セクションで、ロール名、作成時間、Alibaba Cloud リソースネーム (ARN)、説明など、ロールの基本情報を表示できます。

    • 権限ポリシー

      AliyunServiceRoleForNasStandard ロールの製品ページの [権限管理] タブで、ポリシー名をクリックして、ポリシードキュメントとロールがアクセスできるクラウドリソースを表示します。

    • 信頼ポリシー

      AliyunServiceRoleForNasStandard ロールの製品ページの [信頼ポリシー] タブで、信頼ポリシードキュメントを表示できます。信頼ポリシーは、RAM ロールの信頼できるエンティティを定義します。信頼できるエンティティは、RAM ロールを偽装できる ID です。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスです。信頼ポリシーの Service フィールドで信頼できるエンティティを表示できます。

    サービスリンクロールの表示方法の詳細については、「RAM ロールの情報を表示する」をご参照ください。

    CPFS のサービスリンクロールの削除

    CPFS のサービスリンクロールが不要になった場合は、削除できます。たとえば、CPFS ファイルシステムのデータストリーム機能の使用を停止した場合に、ロールを削除することができます。ロールを削除する前に、まずロールに関連付けられている CPFS ファイルシステムインスタンスを削除する必要があります。詳細については、「ファイルシステムを削除する」および「サービスリンクロールを削除する」をご参照ください。

    よくある質問

    RAM ユーザーとしてログインしたときに CPFS のサービスリンクロールが自動的に作成されないのはなぜですか?

    RAM ユーザーが CPFS のサービスリンクロールを自動的に作成または削除するには、特定の権限が必要です。RAM ユーザーに対して CPFS のサービスリンクロールが自動的に作成されない場合は、そのユーザーに次のシステムポリシーとカスタムポリシーを付与する必要があります。詳細については、「カスタム権限ポリシーを作成する」をご参照ください。

    • システムポリシー

      • AliyunVPCFullAccess: VPC に対する完全な権限を付与します。

      • AliyunBSSFullAccess: 請求管理に対する完全な権限を付与します。

      • AliyunNASFullAccess: NAS に対する完全な権限を付与します。

      • AliyunECSNetworkInterfaceManagementAccess: ECS ENI を管理する権限を付与します。

    • カスタムポリシー

      • マウントポイントを管理するには、cpfs-network.nas.aliyuncs.com および cpfs-client.nas.aliyuncs.com 権限が必要です。

      • データストリームを管理するには、oss-dataflow.nas.aliyuncs.com および event-notification.nas.aliyuncs.com 権限が必要です。

      例:

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": { 
         "ram:ServiceName": [
            "cpfs-network.nas.aliyuncs.com",
            "cpfs-client.nas.aliyuncs.com",
            "oss-dataflow.nas.aliyuncs.com",
            "event-notification.nas.aliyuncs.com" 
         ]
        }
      }
    }
  ]
}