このトピックでは、お使いの Alibaba Cloud アカウントで、Data Transmission Service (DTS) がクラウド リソースにアクセスするために必要なアクセス許可を付与する方法について説明します。
背景情報
権限付与が必要な理由
DTS を使用するには、AliyunDTSDefaultRole デフォルトロールを作成し、それに AliyunDTSRolePolicy システムポリシーを付与する必要があります。これにより、DTS は、お使いの Alibaba Cloud アカウント内の ApsaraDB for RDS、Elastic Compute Service (ECS)、PolarDB、ApsaraDB for MongoDB、ApsaraDB for Redis、PolarDB-X、DataHub、Elasticsearch などのクラウド リソースにアクセスし、タスク設定に必要な情報を取得できるようになります。これらのアクセス許可がない場合、DTS タスクを設定することはできません。
DTS にクラウド リソースへのアクセス許可が正しく付与されていない場合、DTS コンソールに次のエラーメッセージが表示されます。
-
エラーコード: Abnormal.RamCheckUserRole
-
エラーメッセージ: You have not authorized the DTS default role "AliyunDTSDefaultRole". If your account has write permissions on RAM, perform the authorization on the RAM console. Otherwise, you must use your Alibaba Cloud account to authorize the role on the RAM console, and then refresh this page.
アクセス許可ポリシー
AliyunDTSDefaultRole デフォルトロールの AliyunDTSRolePolicy システムポリシーには、ApsaraDB for RDS、ECS、PolarDB、ApsaraDB for MongoDB、ApsaraDB for Redis、PolarDB-X、DataHub、Elasticsearch などのクラウド リソースに対する部分的な管理アクセス許可が含まれています。アクセス許可の詳細な定義については、「AliyunDTSRolePolicy」をご参照ください。
アクセス許可ポリシーの詳細については、「アクセス許可ポリシーの構文と構造」をご参照ください。
手順
方法1: RAM クイック権限付与 (推奨)
Alibaba Cloud アカウントを使用して RAM クイック権限付与 ページに移動し、権限付与の確認 をクリックします。
権限付与後に EntityAlreadyExists.Role および EntityAlreadyExists.Role.Policy エラーメッセージが表示された場合は、DTS に必要なアクセス許可が既に付与されていることを意味します。 DTS コンソールに戻ってタスクを設定できます。
方法2: エラープロンプトからの権限付与
-
Alibaba Cloud アカウントを使用して DTS コンソール にログインします。
-
エラーメッセージ ダイアログボックスで、RAM から権限を付与する をクリックします。
-
表示された [RAM クイック権限付与] ページで、権限付与の確認 をクリックします。
-
権限付与が完了したら、DTS コンソールに戻って続行します。
システムは、[サービスロールの作成]、[カスタムポリシーの作成]、[ロールへのアクセス許可ポリシーのアタッチ] の 3 つのステップを自動的に完了します。
方法3: RAM コンソールでの権限付与
-
デフォルトロールを検索します。
-
検索結果で、AliyunDTSDefaultRole をクリックします。
-
対象の RAM ロールに権限を追加します。
-
[アクセス許可] タブで、[権限の追加] をクリックします。
-
オプション: [権限の追加] パネルで、[ポリシータイプ] を [システムポリシー] に設定します。
-
[ポリシー名] テキストボックスに「AliyunDTSRolePolicy」と入力します。
-
OK をクリックします。
[アクセス許可] タブで、
更新アイコンをクリックして、アクセス許可が付与されているかどうかを確認できます。
-
-
アクセス許可が付与されたら、閉じる をクリックします。
権限付与の確認
次の手順に従って、デフォルトロールの権限付与を確認できます。
-
Alibaba Cloud アカウントを使用して RAM コンソール にログインします。
-
オプション: 左側のナビゲーションペインで、 を選択します。
-
[ロールの作成] の右側にある検索ボックスに「AliyunDTSDefaultRole」と入力し、ロールを検索します。
-
検索結果で、AliyunDTSDefaultRole をクリックします。
-
AliyunDTSDefaultRole ロールの詳細を表示します。
-
権限付与は、AliyunDTSDefaultRole ロールが次の両方の条件を満たしている場合に成功です。
-
[信頼ポリシー] に
dts.aliyuncs.comが含まれている。具体的には、信頼ポリシー JSON の
PrincipalセクションのServiceフィールドにdts.aliyuncs.comが含まれています。 信頼ポリシーを変更するには、[信頼ポリシーの編集] をクリックします。 -
[アクセス許可] タブに AliyunDTSRolePolicy システムポリシーが含まれている。
-
-
AliyunDTSDefaultRole ロールがこれらの条件を満たさない場合、権限付与は失敗しているため、ロールに再度権限を付与する必要があります。
AliyunDTSDefaultRole ロールを削除して、再度権限を付与できます。
説明-
方法1 を使用することを推奨します。
-
RAM ロールの削除方法の詳細については、「RAM ロールの削除」をご参照ください。
-
-