すべてのプロダクト
Search

このプロダクト

    Data Management:DMS のサービスリンクロール

    ドキュメントセンター

    Data Management:DMS のサービスリンクロール

    最終更新日:Mar 29, 2026

    Data Management Service (DMS) は、お客様に代わって他の Alibaba Cloud サービスにアクセスするために、2 種類のサービスリンクロールを使用します。DMS の機能向けには AliyunServiceRoleForDMS、データディザスタリカバリ向けには AliyunServiceRoleForDBS です。本トピックでは、各ロールの役割、付与される権限、および作成・表示・削除方法について説明します。

    背景情報

    サービスリンクロールは、Resource Access Management (RAM) ロールの特殊なタイプであり、通常の RAM ロールと比べて以下の 2 つの重要な違いがあります。

    • サービスが所有:このロールはお客様のアカウントではなく、クラウドサービスによって作成・所有されます。

    • 権限が固定:権限ポリシーを編集することはできません。権限はサービス自体によって定義・管理されます。

    RAM ロールの概要については、「RAM ロールの概要」をご参照ください。サービスリンクロールの仕組みの詳細については、「サービスリンクロール」をご参照ください。

    シナリオ

    Data Management (DMS)

    DMS の機能が ECS、VPC、RDS、その他のデータベースやツールなどのリソースにアクセスする必要がある場合、DMS のサービスリンクロールが必要なアクセス権限を付与します。

    データディザスタリカバリ (DBS)

    DBS のサービスリンクロール (AliyunServiceRoleForDBS) は、他の Alibaba Cloud サービスにアクセスする権限を持つ RAM ロールです。DBS はこのロールを使用して、Alibaba Cloud で購入した ApsaraDB データベース(例:RDS、MongoDB、Redis、PolarDB)や、ECS インスタンス上で自己管理しているデータベースへの接続に必要なアクセス権限を取得します。詳細については、「サービスリンクロール」をご参照ください。

    ロールの詳細

    AliyunServiceRoleForDMS

    このロールの役割

    AliyunServiceRoleForDMS により、DMS は Elastic Compute Service (ECS) インスタンス、仮想プライベートクラウド (VPC)、ApsaraDB RDS インスタンス、および DMS が管理するデータベースやツールのリソースにアクセスできます。具体的には、以下の機能を実現します。

    • ApsaraDB RDS、PolarDB、Lindorm などのクラウドデータベースリソースを照会し、Alibaba Cloud データベースの一元管理を可能にします。

    • ECS インスタンスおよび VPC を照会し、ECS 上でホストされている自己管理データベースやインターネット経由でアクセス可能なデータベースを管理します。

    • Data Transmission Service (DTS) およびデータディザスタリカバリを呼び出して、データ移行、同期、バックアップのワークフローをサポートします。

    フィールド
    ロール名AliyunServiceRoleForDMS
    ポリシー名AliyunServiceRolePolicyForDMS
    信頼されるサービスdms.aliyuncs.com

    ポリシードキュメント

    ポリシーは、各ステートメントが制御するクラウドサービスごとに整理されています。

    ECS — DMS 使用タグが付与されたインスタンスのセキュリティグループ管理およびコマンド実行:

    {
    "Action": [
        "ecs:DescribeInstances",
        "ecs:JoinSecurityGroup",
        "ecs:LeaveSecurityGroup",
        "ecs:DescribeImages",
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:RevokeSecurityGroup",
        "ecs:DescribeRegions",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceAttribute",
        "ecs:CreateCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeInvocationResults"
    ],
    "Resource": "*",
    "Effect": "Allow"
},
{
    "Action": [
        "ecs:InvokeCommand",
        "ecs:StopInvocation"
    ],
    "Resource": "acs:ecs:*:*:instance/*",
    "Condition": {
        "StringEquals": {
            "acs:ResourceTag/dms": "script-for-dms"
        }
    },
    "Effect": "Allow"
},
{
    "Action": [
        "ecs:InvokeCommand",
        "ecs:StopInvocation"
    ],
    "Resource": "acs:ecs:*:*:command/*",
    "Effect": "Allow"
}

    ApsaraDB RDS — インスタンスの詳細、SQL ログ、バックアップポリシーの照会およびタグ管理:

    {
    "Action": [
        "rds:DescribeDBInstanceHAConfig",
        "rds:DescribeBinlogFiles",
        "rds:DescribeDBInstancePerformance",
        "rds:DescribeDBInstanceAttribute",
        "rds:DescribeSlowLogs",
        "rds:DescribeSlowLogRecords",
        "rds:DescribeSQLCollectorPolicy",
        "rds:ModifySQLCollectorPolicy",
        "rds:DescribeSQLLogRecords",
        "rds:DescribeSQLLogFiles",
        "rds:DescribeResourceUsage",
        "rds:DescribeRegions",
        "rds:DescribeDBInstances",
        "rds:DescribeDBInstanceAttribute",
        "rds:ModifyBackupPolicy",
        "rds:DescribeSecurityGroupConfiguration",
        "rds:DescribeDBInstanceEncryptionKey",
        "rds:DescribeDBInstanceTDE",
        "rds:DescribeDBInstanceSSL",
        "rds:DescribeCrossRegionBackupDBInstance",
        "rds:DescribeSQLCollectorRetention",
        "rds:TagResources",
        "rds:UntagResources",
        "rds:ListTagResources",
        "rds:DescribeDBInstanceByTags",
        "rds:DescribeDatabases"
    ],
    "Resource": "*",
    "Effect": "Allow"
},
{
    "Action": [
        "rds:CreateAccount",
        "rds:DeleteAccount",
        "rds:ResetAccountPassword",
        "rds:GrantAccountPrivilege",
        "rds:RevokeAccountPrivilege",
        "rds:CheckAccountNameAvailable"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "rds:tag/dms": "account-management"
        }
    },
    "Effect": "Allow"
}

    ApsaraDB for MongoDB — インスタンスの詳細照会および IP ホワイトリストの管理:

    {
    "Action": [
        "dds:DescribeSecurityIps",
        "dds:ModifySecurityIps",
        "dds:DescribeDBInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Tair (Redis OSS-compatible) — インスタンスの詳細、構成の照会および IP ホワイトリストの管理:

    {
    "Action": [
        "kvstore:DescribeSecurityIps",
        "kvstore:ModifySecurityIps",
        "kvstore:DescribeRegions",
        "kvstore:DescribeInstances",
        "kvstore:DescribeInstanceAttribute",
        "kvstore:DescribeInstanceConfig"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    DRDS — インスタンスの詳細照会および IP ホワイトリストの管理:

    {
    "Action": [
        "drds:DescribeDrdsInstances",
        "drds:QueryInstanceInfoByConn",
        "drds:DescribeDrdsInstanceList",
        "drds:DescribeDrdsDBIpWhiteList",
        "drds:ModifyDrdsIpWhiteList",
        "drds:DescribeDrdsInstanceVersion"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    PolarDB — クラスターの詳細照会およびマスキングルール・監査ログの管理:

    {
    "Action": [
        "polardb:DescribeRegions",
        "polardb:DescribeDBClusters",
        "polardb:DescribeDBClusterAttribute",
        "polardb:DescribeDBClusterEndpoints",
        "polardb:DescribeMaskingRules",
        "polardb:ModifyMaskingRules",
        "polardb:DeleteMaskingRules",
        "polardb:DescribeDBClusterVersion",
        "polardb:DescribeDBClusterAuditLogCollector"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    PolarDB-X — インスタンスの詳細照会および IP ホワイトリストの管理:

    {
    "Action": [
        "polardbx:DescribeDBInstances",
        "polardbx:DescribeSecurityIps",
        "polardbx:ModifySecurityIps",
        "polardbx:DescribeDBInstanceAttribute",
        "polardbx:DescribeBinaryLogList",
        "polardbx:DescribeDBInstanceViaEndpoint"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    HybridDB for MySQL (petadata) — インスタンスの詳細照会および IP ホワイトリストの管理:

    {
    "Action": [
        "petadata:DescribeInstances",
        "petadata:DescribeInstanceInfoByConnection",
        "petadata:DescribeSecurityIPs",
        "petadata:ModifySecurityIPs"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    HDM — HDM インスタンスへのアクセス:

    {
    "Action": [
        "hdm:AccessHDMInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Data Transmission Service (DTS) — 移行、同期、ETL ジョブの作成および管理:

    {
    "Action": [
        "dts:CreateMigrationJob",
        "dts:ConfigureMigrationJob",
        "dts:StartMigrationJob",
        "dts:StopMigrationJob",
        "dts:DescribeMigrationJobStatus",
        "dts:DescribeMigrationJobDetail",
        "dts:CreateSynchronizationJob",
        "dts:ConfigureSynchronizationJob",
        "dts:StartSynchronizationJob",
        "dts:SuspendSynchronizationJob",
        "dts:DescribeSynchronizationJobStatus",
        "dts:ShieldPrecheck",
        "dts:CreateDtsInstance",
        "dts:ConfigureDtsJob",
        "dts:StartDtsJob",
        "dts:ModifyDtsJob",
        "dts:StopDtsJob",
        "dts:DescribeDtsJobDetail",
        "dts:DescribeDtsJobs",
        "dts:ConfigureEtlJob",
        "dts:SaveEtlJob",
        "dts:SuspendDtsJob",
        "dts:DeleteDtsJob",
        "dts:ModifyDtsJobName",
        "dts:SkipPreCheck",
        "dts:DescribeDtsEtlJobVersionInfo",
        "dts:DescribeEtlJobLogs",
        "dts:PreviewSql",
        "dts:DescribePreCheckStatus",
        "dts:DescribeDtsJobLogs",
        "dts:DescribeJobMonitorRule",
        "dts:CreateJobMonitorRule",
        "dts:DescribeConfigRelations",
        "dts:DescribeFormInfo",
        "dts:DescribeDmsInstanceDetail",
        "dts:DescribeSchemaList",
        "dts:DescribeColumns",
        "dts:DescribeStruct",
        "dts:DescribeDtsInstancePrice",
        "dts:DescribeRegions",
        "dts:DescribeInstanceInventory",
        "dts:CreateCheckJob",
        "dts:DescribeCheckJobDiffDetails",
        "dts:EtlMockData",
        "dts:EtlMockResult",
        "dts:DescribeCheckJobStatus",
        "dts:DescribeDtsJobStatistics",
        "dts:Ping",
        "dts:DescribeUploadPolicy"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    API Gateway — データベース API の公開向けに API グループ、API、アプリの作成および管理:

    {
    "Action": [
        "apigateway:CreateApiGroup",
        "apigateway:ModifyApiGroup",
        "apigateway:DeleteApiGroup",
        "apigateway:DescribeApiGroups",
        "apigateway:CreateApi",
        "apigateway:ModifyApi",
        "apigateway:DeployApi",
        "apigateway:AbolishApi",
        "apigateway:DeleteApi",
        "apigateway:DescribeApi",
        "apigateway:DescribeApis",
        "apigateway:CreateApp",
        "apigateway:ModifyApp",
        "apigateway:DeleteApp",
        "apigateway:DescribeAppSecurity",
        "apigateway:ResetAppCode",
        "apigateway:ResetAppSecret",
        "apigateway:DescribeAppAttributes",
        "apigateway:SetApisAuthorities",
        "apigateway:DescribeAuthorizedApps"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Database Gateway (dg) — オンプレミス環境との接続性確保のため、ユーザーのゲートウェイおよびデータベースの照会:

    {
    "Action": [
        "dg:GetUserGateways",
        "dg:GetUserDatabases",
        "dg:GetUserGatewayInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    OpenAnalytics — Spark ジョブの送信および管理:

    {
    "Action": [
        "openanalytics:QueryBucketList",
        "openanalytics:QueryDirectoryList",
        "openanalytics:ListVirtualClusters",
        "openanalytics:SubmitSparkJob",
        "openanalytics:KillSparkJob",
        "openanalytics:GetJobLog",
        "openanalytics:GetJobDetail",
        "openanalytics:GetJobStatus",
        "openanalytics:ExecuteService",
        "openanalytics:QueryService",
        "openanalytics:ExecuteOnVirtualCluster"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Data Disaster Recovery (dbs) — バックアップおよび復元計画の作成および管理:

    {
    "Action": [
        "dbs:DescribeBackupPlanList",
        "dbs:DescribeFullBackupList",
        "dbs:CreateBackupPlan",
        "dbs:ConfigureBackupPlan",
        "dbs:ModifyBackupObjects",
        "dbs:StartBackupPlan",
        "dbs:ModifyBackupSourceEndpoint",
        "dbs:StartTask",
        "dbs:StopBackupPlan",
        "dbs:CreateRestoreTask",
        "dbs:StartRestoreTask",
        "dbs:DescribeRestoreTaskList",
        "dbs:DescribeRestoreRangeInfo",
        "dbs:CreateDLAService",
        "dbs:DescribeDLAService",
        "dbs:CloseDLAService",
        "dbs:CreateAndStartBackupPlan",
        "dbs:DescribeFullBackupSet",
        "dbs:DescribeDataSourceQueryableAttribute",
        "dbs:DescribeDataSourceQueryableAttributeDetail",
        "dbs:GetTimeTravelInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    OceanBase — クラスターおよびテナントの接続情報の照会:

    {
    "Action": [
        "oceanbase:DescribeAllTenantsConnectionInfo",
        "oceanbase:DescribeInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    HBase — インスタンスの詳細照会および IP ホワイトリストの管理:

    {
    "Action": [
        "hbase:DescribeInstances",
        "hbase:DescribeInstance",
        "hbase:DescribeEndpoints",
        "hbase:DescribeIpWhitelist",
        "hbase:ModifyIpWhitelist"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Cassandra — クラスターの詳細照会および IP ホワイトリストの管理:

    {
    "Action": [
        "cassandra:DescribeClusters",
        "cassandra:DescribeCluster",
        "cassandra:DescribeDataCenters",
        "cassandra:DescribeIpWhitelistGroups",
        "cassandra:ModifyIpWhitelistGroup"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Lindorm — インスタンスの詳細照会、IP ホワイトリストの管理、およびコンピュートジョブの実行:

    {
    "Action": [
        "lindorm:GetLindormInstanceList",
        "lindorm:GetLindormInstance",
        "lindorm:GetLindormInstanceEngineList",
        "lindorm:GetLindormInstanceListForDMS",
        "lindorm:GetLindormInstanceForDMS",
        "lindorm:GetLindormInstanceForDMSByConnStr",
        "lindorm:GetInstanceIpWhiteList",
        "lindorm:UpdateInstanceIpWhiteList",
        "lindorm:CreateComputeEngineJob",
        "lindorm:GetComputeEngineJobDetail",
        "lindorm:GetComputeEngineJobLog",
        "lindorm:ReleaseLindormComputeJob"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    AnalyticDB (adb) — クラスターおよび Spark ワークロードの管理:

    {
    "Action": [
        "adb:CreateDBCluster",
        "adb:CreateAccount",
        "adb:DescribeDBClusters",
        "adb:DescribeDBClusterNetInfo",
        "adb:SubmitSparkApp",
        "adb:KillSparkApp",
        "adb:ListSparkApps",
        "adb:GetSparkAppLog",
        "adb:GetSparkAppInfo",
        "adb:GetSparkAppState",
        "adb:GetSparkAppAttemptLog",
        "adb:GetSparkAppWebUiAddress",
        "adb:ListSparkAppAttempts",
        "adb:DescribeDBClusterAttribute",
        "adb:DescribeDBResourceGroup",
        "adb:ExecuteSparkWarehouseBatchSQL",
        "adb:CancelSparkWarehouseBatchSQL",
        "adb:GetSparkWarehouseBatchSQL"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    AnalyticDB for PostgreSQL (gpdb) — インスタンスの照会および一時停止/再開の制御:

    {
    "Action": [
        "gpdb:DescribeDBInstances",
        "gpdb:ResumeInstance",
        "gpdb:PauseInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    VPC — VPC および VSwitch の照会:

    {
    "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Hologres — インスタンスの詳細照会:

    {
    "Action": [
        "hologram:GetInstance",
        "hologram:ListInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    GDB — グラフデータベースインスタンスの照会:

    {
    "Action": [
        "gdb:DescribeDbInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Object Storage Service (OSS) — バケットの一覧表示:

    {
    "Action": [
        "oss:ListBuckets"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    SelectDB — インスタンスの詳細照会および IP ホワイトリストの管理:

    {
    "Action": [
        "selectdb:DescribeDBInstances",
        "selectdb:DescribeDBInstanceAttribute",
        "selectdb:DescribeDBInstanceNetInfo",
        "selectdb:DescribeSecurityIPList",
        "selectdb:ModifySecurityIPList"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    ClickHouse — クラスターおよびインスタンスの詳細照会および IP ホワイトリストの管理:

    {
    "Action": [
        "clickhouse:DescribeDBClusters",
        "clickhouse:DescribeDBInstances",
        "clickhouse:DescribeDBInstanceAttribute",
        "clickhouse:DescribeEndpoints",
        "clickhouse:DescribeSecurityIPList",
        "clickhouse:ModifySecurityIPList"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    StarRocks (sr) — インスタンスの詳細および接続情報の照会:

    {
    "Action": [
        "sr:ListInstances",
        "sr:GetInstanceDetail",
        "sr:DescribeRegions",
        "sr:GetDmsConnectionInfo",
        "sr:GetNetworkMappingIp"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Data Disaster Recovery internal (dbs-inner) — タイムトラベル機能向けのデータソース属性の照会:

    {
    "Action": [
        "dbs-inner:DescribeDataSourceQueryableAttribute",
        "dbs-inner:DescribeDataSourceQueryableAttributeDetail",
        "dbs-inner:GetTimeTravelInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Key Management Service (KMS) — シークレットの一覧表示および認証情報の復号:

    {
    "Action": [
        "kms:ListSecrets",
        "kms:GetSecretValue",
        "kms:Decrypt",
        "kms:ListKmsInstances"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    Tablestore (ots) — インスタンスの一覧表示:

    {
    "Action": [
        "ots:ListInstance"
    ],
    "Resource": "*",
    "Effect": "Allow"
}

    RAM — DMS のサービスリンクロール自体の削除:

    {
    "Action": "ram:DeleteServiceLinkedRole",
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "dms.aliyuncs.com"
        }
    }
}

    AliyunServiceRoleForDBS

    このロールの役割

    AliyunServiceRoleForDBS により、データディザスタリカバリは以下のデータベースに接続・管理できます。

    • Alibaba Cloud データベース:ApsaraDB RDS インスタンス、ApsaraDB for MongoDB インスタンス、Tair (Redis OSS-compatible) インスタンス、PolarDB データベース。

    • ECS インスタンス上でホストされている自己管理データベース。

    これらのデータベースにアクセスする前に、このロールが存在している必要があります。データディザスタリカバリを初めて使用する際、システムが自動的にこのロールを作成します。

    フィールド
    ロール名AliyunServiceRoleForDBS
    ポリシー名AliyunServiceRolePolicyForDBS
    信頼されるサービスdbs.aliyuncs.com

    ポリシードキュメント

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "rds:DescribeDBInstanceNetInfo",
        "rds:DescribeDBInstanceNetInfoForChannel",
        "rds:DescribeTasks",
        "rds:DescribeDBInstances",
        "rds:DescribeFilesForSQLServer",
        "rds:DescribeImportsForSQLServer",
        "rds:DescribeSlowLogRecords",
        "rds:DescribeBinlogFiles",
        "rds:DescribeSQLLogRecords",
        "rds:DescribeParameters",
        "rds:DescribeParameterTemplates",
        "rds:DescribeDBInstanceAttribute",
        "rds:DescribeDatabases",
        "rds:DescribeAccounts",
        "rds:DescribeSecurityIPList",
        "rds:DescribeSecurityIps",
        "rds:DescribeDBInstanceIPArray",
        "rds:DescribeDBInstanceIPArrayList",
        "rds:DescribeDBInstanceSSL",
        "rds:DescribeDBInstanceTDE",
        "rds:CreateDBInstance",
        "rds:CreateAccount",
        "rds:CreateDatabase",
        "rds:ModifySecurityIps",
        "rds:GrantAccountPrivilege",
        "rds:CreateMigrateTask",
        "rds:CreateOnlineDatabaseTask",
        "rds:DescribeMigrateTasks",
        "rds:DescribeOssDownloads",
        "rds:CreateBackup",
        "rds:DescribeBackups",
        "rds:DescribeBackupPolicy",
        "rds:ModifyBackupPolicy",
        "rds:DescribeBackupTasks",
        "rds:DescribeBinlogFiles",
        "rds:DescribeResourceUsage",
        "rds:DescribeAvailableZones",
        "rds:DescribeAvailableClasses",
        "rds:ListClasses",
        "rds:CreateDdrInstance"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:DescribeInstance",
        "ecs:DescribeInstances",
        "ecs:DescribeVpcs",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:AuthorizeSecurityGroup",
        "ecs:JoinSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeSnapshots",
        "ecs:ModifySnapshotAttribute",
        "ecs:ResizeDisk",
        "ecs:CreateSecurityGroup",
        "ecs:ModifySecurityGroupPolicy"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kms:ListKeys"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "cms:PutEventRule",
        "cms:PutEventTargets",
        "cms:ListEventRules",
        "cms:ListEventTargetsByRule",
        "cms:DeleteEventRule",
        "cms:DeleteEventTargets"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "polardb:DescribeDBClusterAttribute",
        "polardb:DescribeDBClusterIPArrayList",
        "polardb:DescribeDBClusterNetInfo",
        "polardb:DescribeDBClusters",
        "polardb:ModifySecurityIps",
        "polardb:DescribeDBClusterEndpoints",
        "polardb:DescribeDBClusterAccessWhitelist",
        "polardb:ModifyDBClusterAccessWhitelist"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "dds:DescribeDBInstanceAttribute",
        "dds:DescribeReplicaSetRole",
        "dds:DescribeShardingNetworkAddress",
        "dds:DescribeSecurityIps",
        "dds:DescribeDBInstances",
        "dds:ModifySecurityIps"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kvstore:DescribeSecurityIps",
        "kvstore:DescribeInstances",
        "kvstore:DescribeAccounts",
        "kvstore:DescribeDBInstanceNetInfo",
        "kvstore:CreateAccount",
        "kvstore:ModifySecurityIps",
        "kvstore:DescribeInstanceAttribute",
        "kvstore:AllocateInstancePrivateConnection",
        "kvstore:DescribeLogicInstanceTopology"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "drds:DescribeDrdsDB",
        "drds:DescribeDrdsDBs",
        "drds:DescribeDrdsDbInstance",
        "drds:DescribeDrdsDbInstances",
        "drds:DescribeDrdsDBIpWhiteList",
        "drds:DescribeDrdsInstances",
        "drds:ModifyDrdsIpWhiteList",
        "drds:CreateDrdsDB",
        "drds:DescribeTable",
        "drds:DescribeTables",
        "drds:ModifyRdsReadWeight",
        "drds:ChangeAccountPassword",
        "drds:CreateDrdsInstance",
        "drds:CreateInstanceInternetAddress",
        "drds:DescribeInstanceAccounts",
        "drds:DescribeBackupSets",
        "drds:DescribeDbInstances",
        "drds:DescribeDrdsCrossRegionBackups",
        "drds:DescribeCrossBackupMetadata",
        "drds:RegisterCrossRegionBackupSet",
        "drds:DeleteCrossRegionBackupSet",
        "drds:DescribeDrdsRdsInstances",
        "drds:CreateDrdsCrossInstance",
        "drds:DescribeDrdsInstanceLevelTasks"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:DeleteVpcEndpoint"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "bssapi:QueryResourcePackageInstances"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "hdm:AddHDMInstance",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "dbs.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "dg:GetUserGateways",
        "dg:GetUserDatabases",
        "dg:AddDatabase",
        "dg:DescribeRegions"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

    サービスリンクロールを作成するための必要な権限

    Data Management (DMS)

    サービスリンクロールを作成する前に、操作を実行する RAM ユーザーは、適切なサービスに対してスコープ指定された ram:CreateServiceLinkedRole 権限を有している必要があります。

    DMS のサービスリンクロールを作成するには、特定の権限が必要です。

    RAM ユーザーがこの権限を有していない場合は、以下のステートメントを含むカスタムポリシーをアタッチしてください。手順については、「カスタムポリシーの作成」および「RAM ユーザーへの権限付与」をご参照ください。

    例:DMS のサービスリンクロール作成を許可するポリシー

    AliyunServiceRoleForDMS 向け:

    {
  "Action": "ram:CreateServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
    "StringEquals": {
      "ram:ServiceName": "dms.aliyuncs.com"
    }
  }
}

    データディザスタリカバリ (DBS)

    データディザスタリカバリ (DBS) のサービスリンクロールを作成するには、特定の権限が必要です。

    RAM ユーザーが十分な権限を有していない場合、RAM ユーザーに以下の権限を追加する必要があります。権限の追加および付与方法については、「カスタム権限ポリシーの作成」および「RAM ユーザーの権限管理」をご参照ください。

    例:データディザスタリカバリ (DBS) のサービスリンクロール作成を許可するポリシー

    AliyunServiceRoleForDBS 向け:

    {
  "Action": "ram:CreateServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
    "StringEquals": {
      "ram:ServiceName": "dbs.aliyuncs.com"
    }
  }
}

    サービスリンクロールの作成

    Data Management (DMS)

    AliyunServiceRoleForDMS: RAM ユーザーが必要な権限を有している場合、DMS コンソールにログインします。「DMS のサービスリンクロール」ダイアログボックスが表示されたら、OK をクリックします。システムが AliyunServiceRoleForDMS を自動的に作成します。詳細については、「サービスリンクロールの作成」セクション(「サービスリンクロール」トピック内)をご参照ください。

    データディザスタリカバリ (DBS)

    AliyunServiceRoleForDBS: このロールは、データディザスタリカバリを初めて使用する際に、システムが自動的に作成します。手動での操作は不要です。

    サービスリンクロールの表示

    Data Management (DMS)

    サービスリンクロールが作成された後、RAM コンソールでその Alibaba Cloud リソース名 (ARN)、信頼ポリシー、および権限ポリシーを確認できます。以下の手順は両方のロールに共通ですが、ロール名およびポリシー名は適宜置き換えてください。

    1. RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、ID > ロール を選択します。

    3. ロール ページで、ロール名(AliyunServiceRoleForDMS または AliyunServiceRoleForDBS)を検索し、その名前をクリックします。

    4. ロールの詳細ページで、以下の情報を確認します。

      • 基本情報 — ロール名、作成日時、ARN を表示します。

      • 信頼ポリシー タブ — ロールを偽装できるクラウドサービスを識別する Service フィールドを表示します。例:"Service": ["dms.aliyuncs.com"]

      • 権限 タブ — アタッチされたポリシーを一覧表示します。AliyunServiceRolePolicyForDMS または AliyunServiceRolePolicyForDBS のポリシー名をクリックし、その後 ポリシードキュメント タブを開いて、ポリシーの完全な内容を確認します。

    サービスリンクロールの権限は、RAM コンソールの ポリシー ページでは表示されません。上記の手順に従って、ロールの詳細ページからアクセスしてください。

    データディザスタリカバリ (DBS)

    データディザスタリカバリ (DBS) のサービスリンクロール (AliyunServiceRoleForDBS) が作成された後、RAM コンソールでそのロールを表示できます。コンソールでは、ロールの基本情報、信頼ポリシー、およびアクセスポリシー (AliyunServiceRolePolicyForDBS) を確認できます。

    1. RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、ID 管理 > ロール を選択します。

    3. ロール ページで、AliyunServiceRoleForDBS を検索してクリックします。

    4. ロールの基本情報を表示します。

      ロールの詳細ページの 基本情報 セクションで、RAM ロール名、作成日時、ARN などの情報を確認できます。

    5. ロールの信頼ポリシーを表示します。

      ロールの詳細ページで、信頼ポリシー タブをクリックします。Service フィールドで、このロールを偽装できる Alibaba Cloud サービスを確認できます。例:"Service": ["dbs.aliyuncs.com"]

    6. ロールのアクセスポリシー (AliyunServiceRolePolicyForDBS) を表示します。

      1. ロールの詳細ページで、権限管理 タブをクリックします。

      2. ポリシー名 AliyunServiceRolePolicyForDBS をクリックします。

      3. ポリシー内容 タブで、アクセスポリシーの詳細を確認できます。

      説明

      RAM コンソールのアクセスポリシー一覧では、サービスリンクロールのアクセスポリシーを直接表示することはできません。

    サービスリンクロールの削除

    Data Management (DMS)

    AliyunServiceRoleForDMS: このロールを削除する前に、DMS コンソールのインスタンス一覧からすべてのインスタンスを削除してください。これは、DMS がまだ管理中のリソースへのアクセスを失わないようにするための必須手順です。手順については、「1 つ以上のインスタンスを削除」および「サービスリンクロールの削除」をご参照ください。

    データディザスタリカバリ (DBS)

    AliyunServiceRoleForDBS: RAM コンソールで手動でロールを削除します。手順については、「RAM ロールの削除」をご参照ください。