このトピックでは、Cloud Storage Gateway (CSG) のサービスリンクロールについて説明します。
背景情報
サービスリンクロールとは、信頼できるエンティティが Alibaba Cloud サービスであるリソースアクセス管理 (RAM) ロールです。CSG は、他のクラウドサービスまたはクラウドリソースにアクセスする権限を取得するために、サービスリンクロールを引き受けます。
通常、別のクラウドサービスへのアクセスが必要な操作を実行すると、システムが自動的にサービスリンクロールを作成します。サービスリンクロールの自動作成に失敗した場合や、CSG が自動作成を許可していない場合は、手動でサービスリンクロールを作成する必要があります。
RAM は、各サービスリンクロールに対してシステムポリシーを提供しています。このシステムポリシーは変更できません。特定のサービスリンクロールのシステムポリシーに関する情報を表示するには、そのロールの詳細ページに移動してください。
詳細については、「サービスリンクロール」をご参照ください。
利用シーン
以下のシナリオにおいて、CSG は自動的にサービスリンクロールを作成します。
AliyunServiceRoleForHCSSGW
CSG コンソールに初めてログインし、サービスリンクロールの使用を承認すると、CSG は自動的にサービスリンクロール AliyunServiceRoleForHCSSGW を作成します。このサービスリンクロールにより、CSG は Elastic Compute Service (ECS)、Virtual Private Cloud (VPC)、Object Storage Service (OSS)、Simple Message Queue (SMQ)、および Key Management Service (KMS) にアクセスできます。
AliyunServiceRoleForHCSSGWLogMonitor
CSG コンソールで初めてログモニタリング機能を使用し、サービスリンクロールの使用を承認すると、CSG は自動的にサービスリンクロール AliyunServiceRoleForHCSSGWLogMonitor を作成します。このサービスリンクロールにより、CSG は Simple Log Service (SLS) にアクセスできます。
権限
AliyunServiceRoleForHCSSGW
RAM ユーザーとしてサービスリンクロール AliyunServiceRoleForHCSSGW を作成するには、RAM ユーザーに AliyunHCSSGWFullAccess ポリシーをアタッチする必要があります。
AliyunServiceRoleForHCSSGW は、CSG に対して以下のクラウドサービスまたはリソースへのアクセス権限を付与します。
ECS のエラスティックネットワークインターフェース (ENI) およびセキュリティグループ
ENI およびセキュリティグループにアクセスするために、CSG は以下の権限を必要とします。
{ "Action": [ "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission", "ecs:CreateSecurityGroup", "ecs:DescribeSecurityGroups", "ecs:AuthorizeSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:JoinSecurityGroup" ], "Resource": "*", "Effect": "Allow" }VPC
VPC リソースにアクセスするために、CSG は以下の権限を必要とします。
{ "Action": [ "vpc:DescribeVpcs", "vpc:DescribeVSwitches" ], "Resource": "*", "Effect": "Allow" }OSS
OSS リソースのアップロード、ダウンロード、および管理を行うために、CSG は以下の権限を必要とします。
{ "Action": [ "oss:ListBuckets", "oss:ListObjects", "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:HeadObject", "oss:CopyObject", "oss:InitiateMultipartUpload", "oss:UploadPart", "oss:UploadPartCopy", "oss:CompleteMultipartUpload", "oss:AbortMultipartUpload", "oss:ListMultipartUploads", "oss:ListParts", "oss:GetBucketStat", "oss:GetBucketWebsite", "oss:GetBucketInfo", "oss:GetBucketEncryption", "oss:PutBucketEncryption", "oss:DeleteBucketEncryption", "oss:RestoreObject", "oss:PutObjectTagging", "oss:GetObjectTagging", "oss:DeleteObjectTagging" ], "Resource": "*", "Effect": "Allow" }KMS
サーバ側暗号化またはクライアント側暗号化を実行するために、CSG は以下の権限を必要とします。
{ "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow" }SMQ
ゲートウェイの高速同期を設定するために、CSG は以下の権限を必要とします。
{ "Action": [ "mns:SendMessage", "mns:ReceiveMessage", "mns:PublishMessage", "mns:DeleteMessage", "mns:GetQueueAttributes", "mns:GetTopicAttributes", "mns:CreateTopic", "mns:DeleteTopic", "mns:CreateQueue", "mns:DeleteQueue", "mns:PutEventNotifications", "mns:DeleteEventNotifications", "mns:UpdateEventNotifications", "mns:GetEvent", "mns:Subscribe", "mns:Unsubscribe", "mns:ListTopic", "mns:ListQueue", "mns:ListSubscriptionByTopic" ], "Resource": "*", "Effect": "Allow" }取引および請求書
ゲートウェイの請求情報を収集および表示するために、CSG は以下の権限を必要とします。
{ "Action": [ "bss:DescribePrice" ], "Resource": "*", "Effect": "Allow" }
AliyunServiceRoleForHCSSGWLogMonitor
RAM ユーザーとしてサービスリンクロール AliyunServiceRoleForHCSSGWLogMonitor を作成するには、RAM ユーザーに AliyunHCSSGWFullAccess ポリシーをアタッチする必要があります。
AliyunServiceRoleForHCSSGWLogMonitor は、CSG に対して以下のクラウドサービスへのアクセス権限を付与します。
SLS
ゲートウェイのログモニタリングを設定するために、CSG は以下の権限を必要とします。
{ "Action": [ "log:PostLogStoreLogs", "log:GetLogStore" ], "Resource": "*", "Effect": "Allow" }
サービスリンクロールを管理するために RAM ユーザーに必要な権限
RAM ユーザーには、システムポリシー AliyunHCSSGWFullAccess または以下の Action 文を含むカスタムポリシーを割り当てる必要があります。
ram:CreateServiceLinkedRole:この権限により、RAM ユーザーはサービスリンクロールを作成できます。ram:DeleteServiceLinkedRole:この権限により、RAM ユーザーはサービスリンクロールを削除できます。
詳細については、「サービスリンクロールの作成および削除に必要な権限」をご参照ください。
サービスリンクロールの情報表示
サービスリンクロールが作成された後は、RAM コンソールの[ロール]ページで、AliyunServiceRoleForHCSSGW などのロール名を検索することで、以下の情報を確認できます。
-
基本情報
AliyunServiceRoleForHCSSGW ロールの詳細ページにある基本情報セクションには、ロール名、作成時刻、ARN、および説明が表示されます。
-
ポリシー
AliyunServiceRoleForHCSSGW ロールの詳細ページの許可タブで、ポリシー名をクリックすると、ポリシーの内容およびロールがアクセス可能なクラウドリソースを確認できます。
-
信頼ポリシー
AliyunServiceRoleForHCSSGW ロールの詳細ページのトラスト規則タブで、信頼ポリシーの内容を確認できます。信頼ポリシーには、その RAM ロールを偽装できる信頼できるエンティティが記述されています。サービスリンクロールの場合、信頼できるエンティティはクラウドサービスであり、信頼ポリシー内の
Serviceフィールドで識別できます。
サービスリンクロールの詳細情報を表示する方法については、「RAM ロールの情報表示」をご参照ください。
サービスリンクロールの削除
CSG のサービスリンクロールを削除する前に、関連付けられたゲートウェイを削除する必要があります。詳細については、「サービスリンクロールの削除」をご参照ください。
サービスリンクロールを削除すると、そのロールに依存する機能は使用できなくなります。慎重に操作してください。
よくある質問
RAM ユーザーとして CSG にアクセスした際に、サービスリンクロールが自動作成されないのはなぜですか?
RAM ユーザーに、CSG のサービスリンクロールを自動作成するために必要な権限が付与されていません。システムは、必要な権限を持つユーザーに対してのみ CSG サービスリンクロールを作成します。この問題を解決するには、以下のポリシーを RAM ユーザーにアタッチしてください。Alibaba Cloud アカウント ID は、実際のアカウント ID に置き換えてください。詳細については、「カスタムポリシーの作成」をご参照ください。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:Alibaba Cloud account ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"hcs-sgw.aliyuncs.com ",
"logmonitor.hcs-sgw.aliyuncs.com",
]
}
}
}
],
"Version": "1"
}