このトピックでは、Cloud Storage Gateway (CSG) のサービスにリンクされたロールについて説明します。
背景情報
サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。 CSGは、サービスにリンクされたロールを引き受けて、他のクラウドサービスまたはクラウドリソースにアクセスする権限を取得します。
ほとんどの場合、別のクラウドサービスへのアクセスを必要とする操作を実行すると、システムはサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールの自動作成に失敗した場合、またはCSGで自動作成が許可されていない場合は、サービスにリンクされたロールを手動で作成する必要があります。
RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 システムポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。
詳細については、「サービスにリンクされたロール」をご参照ください。
シナリオ
CSGは、次のシナリオでサービスにリンクされたロールを自動的に作成します。
AliyunServiceRoleForHCSGW
CSGコンソールに初めてログインし、サービスにリンクされたロールの使用を承認すると、CSGは自動的にサービスにリンクされたロールAliyunServiceRoleForHCSGWを作成します。 サービスにリンクされたロールにより、CSGはElastic Compute service (ECS) 、Virtual Private Cloud (VPC) 、Object Storage Service (OSS) 、Simple Message Queue (SMQ) 、およびKey Management Service (KMS) にアクセスできます。
AliyunServiceRoleForHCSSGWLogMonitor
CSGコンソールで初めてログモニタリングを使用し、サービスにリンクされたロールの使用を承認すると、CSGは自動的にサービスにリンクされたロールAliyunServiceRoleForHCSSGWLogMonitorを作成します。 サービスにリンクされたロールにより、CSGはSimple Log service (SLS) にアクセスできます。
権限
AliyunServiceRoleForHCSSGW
サービスにリンクされたロールAliyunServiceRoleForHCSGWをRAMユーザーとして作成するには、AliyunHCSSGWFullAccessポリシーをRAMユーザーにアタッチする必要があります。
AliyunServiceRoleForHCSGWは、次のクラウドサービスまたはリソースにアクセスする権限をCSGに付与します。
ECSのElastic network Interface (ENI) とセキュリティグループ
CSGには、ENIとセキュリティグループにアクセスするために次の権限が必要です。
{ "Action": [ "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission", "ecs:CreateSecurityGroup", "ecs:DescribeSecurityGroups", "ecs:AuthorizeSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:JoinSecurityGroup" ], "Resource": "*", "Effect": "Allow" }VPC
CSGには、VPCリソースにアクセスするための次の権限が必要です。
{ "Action": [ "vpc:DescribeVpcs", "vpc:DescribeVSwitches" ], "Resource": "*", "Effect": "Allow" }OSS
CSGには、OSSリソースのアップロード、ダウンロード、管理に次の権限が必要です。
{ "Action": [ "oss:ListBuckets", "oss:ListObjects", "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:HeadObject", "oss:CopyObject", "oss:InitiateMultipartUpload", "oss:UploadPart", "oss:UploadPartCopy", "oss:CompleteMultipartUpload", "oss:AbortMultipartUpload", "oss:ListMultipartUploads", "oss:ListParts", "oss:GetBucketStat", "oss:GetBucketWebsite", "oss:GetBucketInfo", "oss:GetBucketEncryption", "oss:PutBucketEncryption", "oss:DeleteBucketEncryption", "oss:RestoreObject", "oss:PutObjectTagging", "oss:GetObjectTagging", "oss:DeleteObjectTagging" ], "Resource": "*", "Effect": "Allow" }KMS
CSGには、サーバー側暗号化またはクライアント側暗号化を実行するために次の権限が必要です。
{ "Action": [ "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow" }SMQ
ゲートウェイの高速同期を設定するには、CSGに次の権限が必要です。
{ "Action": [ "mns:SendMessage", "mns:ReceiveMessage", "mns:PublishMessage", "mns:DeleteMessage", "mns:GetQueueAttributes", "mns:GetTopicAttributes", "mns:CreateTopic", "mns:DeleteTopic", "mns:CreateQueue", "mns:DeleteQueue", "mns:PutEventNotifications", "mns:DeleteEventNotifications", "mns:UpdateEventNotifications", "mns:GetEvent", "mns:Subscribe", "mns:Unsubscribe", "mns:ListTopic", "mns:ListQueue", "mns:ListSubscriptionByTopic" ], "Resource": "*", "Effect": "Allow" }取引と請求書
ゲートウェイの課金情報を収集して表示するには、CSGに次の権限が必要です。
{ "Action": [ "bss:DescribePrice" ], "Resource": "*", "Effect": "Allow" }
AliyunServiceRoleForHCSSGWLogMonitor
サービスにリンクされたロールAliyunServiceRoleForHCSSGWLogMonitorをRAMユーザーとして作成するには、AliyunHCSSGWFullAccessポリシーをRAMユーザーにアタッチする必要があります。
AliyunServiceRoleForHCSSGWLogMonitorは、次のクラウドサービスにアクセスする権限をCSGに付与します。
SLS
ゲートウェイのログモニタリングを設定するには、CSGに次の権限が必要です。
{ "Action": [ "log:PostLogStoreLogs", "log:GetLogStore" ], "Resource": "*", "Effect": "Allow" }
RAMユーザーがサービスにリンクされたロールを管理するために必要な権限
RAMユーザーには、システムポリシーAliyunHCSSGWFullAccess、またはActionステートメントに次の権限を含むカスタムポリシーを割り当てる必要があります。
ram:CreateServiceLinkedRoleです。 この権限により、RAMユーザーはサービスにリンクされたロールを作成できます。ram:DeleteServiceLinkedRoleです。 この権限により、RAMユーザーはサービスにリンクされたロールを削除できます。
詳細については、「サービスにリンクされたロールの作成と削除に必要な権限」をご参照ください。
サービスにリンクされたロールに関する情報の表示
サービスにリンクされたロールを作成した後、[RAMコンソールの [ロール] ページ] で、ロール名 (AliyunServiceRoleForHCSGWなど) を検索して、サービスにリンクされたロールに関する次の情報を照会できます。
基本情報
[基本情報] セクションでは、名前、作成時刻、ARN、説明など、ロールに関する基本情報を表示できます。
ポリシー
[権限] タブで、ポリシーの名前をクリックして、ポリシーの内容とロールがアクセスできるクラウドリソースを表示できます。
信頼ポリシー
[信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーを表示できます。 信頼ポリシーは、RAMロールの信頼できるエンティティを記述します。 信頼済みエンティティは、RAM ロールを割り当てることができるエンティティを指します。 サービスにリンクされたロールの信頼済みエンティティは、クラウドサービスです。 サービスにリンクされたロールの信頼できるエンティティを取得するには、信頼ポリシーの
serviceパラメーターの値を表示します。
サービスにリンクされたロールの詳細を表示する方法については、「RAMロールに関する情報の表示」をご参照ください。
サービスにリンクされたロールを削除する
CSGのサービスにリンクされたロールを削除する前に、関連付けられたゲートウェイを削除する必要があります。 詳細については、「サービスにリンクされたロールの削除」をご参照ください。
サービスにリンクされたロールが削除されると、ロールに依存する機能は使用できなくなります。 作業は慎重に行ってください。
よくある質問
RAMユーザーとしてCSGにアクセスすると、サービスにリンクされたロールが自動的に作成されないのはなぜですか。
RAMユーザーには、CSGのサービスにリンクされたロールを自動的に作成するために必要な権限がありません。 システムは、必要な権限を持つユーザーに対してのみCSGサービスにリンクされたロールを作成します。 この問題を修正するには、次のポリシーをRAMユーザーにアタッチします。 Alibaba CloudアカウントIDを実際のアカウントIDに置き換える必要があります。 詳細については、「カスタムポリシーの作成」をご参照ください。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:Alibaba Cloud account ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"hcs-sgw.aliyuncs.com ",
"logmonitor.hcs-sgw.aliyuncs.com",
]
}
}
}
],
"Version": "1"
}