E-HPC のサービスロールにクラウドリソースへの権限を付与する - Elastic High Performance Computing

Elastic High Performance Computing (E-HPC) を使用する場合、E-HPC のサービスロールを作成し、そのロールに権限を付与する必要があります。このトピックでは、E-HPC のサービスロールとロールの権限、およびサービスロールの作成、表示、削除の方法について説明します。

サービスロールの概要

サービスロールとは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。Alibaba Cloud サービスによってサービスロールが引き受けられると、サービスロールは他の Alibaba Cloud サービスにアクセスする権限を与えられます。詳細については、「サービスロール」をご参照ください。

次の表に、E-HPC のサービスロールとシステムポリシーを示します。

ロール	システムポリシー	シナリオ
AliyunServiceRoleForEHPC	AliyunServiceRolePolicyForEHPC	このロールは、E-HPC に関連付けられたクラウドリソースへのアクセスを承認するために使用されます。このロールを使用すると、E-HPC は Elastic Compute Service (ECS)、Virtual Private Cloud (VPC)、Apsara File Storage NAS (NAS) などの Alibaba Cloud サービスにアクセスするための権限を持ちます。

RAM ユーザーに権限を付与する

RAM ユーザーを使用してサービスロールを作成または削除する場合は、Alibaba Cloud アカウントを使用して RAM ユーザーに権限を付与する必要があります。

方法 1：AliyunEHPCFullAccess ポリシーを RAM ユーザーにアタッチします。このポリシーには、E-HPC のサービスロールを作成および削除するための権限が含まれています。
方法 2：カスタムポリシーの Action ステートメントで、次のポリシーを RAM ユーザーにアタッチします。
- サービスロールの作成：ram:CreateServiceLinkedRole
- サービスロールの削除：ram:DeleteServiceLinkedRole

詳細については、このトピックの「サービスロールの作成と削除に必要な権限」セクションをご参照ください。

サービスロールを作成する

E-HPC を使用すると、システムは現在の Alibaba Cloud アカウントに対してサービスロール AliyunServiceRoleForEHPC が作成されているかどうかを確認します。ロールが存在しない場合は、システムから通知が表示されます。情報を確認すると、システムは自動的に AliyunServiceRoleForEHPC を作成します。

重要

システムがロールを作成した後、E-HPC は関連付けられたクラウドリソースにアクセスするためにロールを引き受けることができます。 ECS インスタンスや NAS ファイルシステムなど、作成したリソースに対して課金される場合があります。

AliyunServiceRolePolicyForEHPC は、AliyunServiceRoleForEHPC ロールにアタッチされる事前設定されたポリシーです。このポリシーに他の権限を追加することはできません。また、ポリシー内の権限を変更または削除することもできません。

AliyunServiceRolePolicyForEHPC の権限

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:RunInstances",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceTypes",
        "ecs:DescribeKeyPairs",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribePrice",
        "ecs:DescribeZones",
        "ecs:DescribeAvailableResource",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:CreateSecurityGroup",
        "ecs:DescribeImages",
        "ecs:AttachKeyPair",
        "ecs:ModifyInstanceAttribute",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:DeleteInstance",
        "ecs:CreateInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:RebootInstance",
        "ecs:AuthorizeSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:CreateHpcCluster",
        "ecs:ModifyHpcClusterAttribute",
        "ecs:DeleteHpcCluster",
        "ecs:DescribeHpcClusters",
        "ecs:DeleteSecurityGroup",
        "ecs:DescribeDisks",
        "ecs:ReInitDisk",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:StopInvocation",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:ModifyCommand",
        "ecs:DescribeInvocations",
        "ecs:DescribeInvocationResults",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:AttachNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:DescribeResourceAllocation",
        "ecs:TagResources",
        "ecs:DescribeManagedInstances",
        "eci:BatchCreateContainerGroups",
        "eci:CreateContainerGroup"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "vpc:AllocateEipAddress",
        "vpc:DescribeEipAddresses",
        "vpc:AssociateEipAddress",
        "vpc:DescribeVSwitches",
        "vpc:ReleaseEipAddress",
        "vpc:CreateVpc",
        "vpc:CreateVSwitch"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "nas:DescribeFileSystems",
        "nas:DescribeMountTargets",
        "nas:CreateFileSystem",
        "nas:CreateMountTarget",
        "nas:CreateAccessGroup",
        "nas:CreateAccessRule",
        "nas:DeleteAccessGroup",
        "nas:DeleteAccessRule",
        "nas:DescribeAccessGroups",
        "nas:DescribeAccessRules",
        "nas:ModifyFileSystem",
        "nas:UpdateFileSystemInfo",
        "nas:CPFSCreateFileSystem",
        "nas:CPFSDescribeFileSystems",
        "nas:CPFSModifyFileSystem",
        "nas:CreateLDAPConfig",
        "nas:DeleteLDAPConfig",
        "nas:DescribeLDAPConfig"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecd:CreateRAMDirectory",
        "ecd:CreateADConnectorDirectory",
        "ecd:DescribeDirectories",
        "ecd:DeleteDirectories",
        "ecd:CreateBundle",
        "ecd:DescribeBundles",
        "ecd:DeleteBundles",
        "ecd:ListDirectoryUsers",
        "ecd:ModifyEntitlement",
        "ecd:CreatePolicyGroup",
        "ecd:DescribePolicyGroups",
        "ecd:ModifyPolicyGroup",
        "ecd:DeletePolicyGroups",
        "ecd:CreateDesktops",
        "ecd:DescribeDesktops",
        "ecd:RebootDesktops",
        "ecd:DeleteDesktops",
        "ecd:DescribeDesktopTypes",
        "ecd:StartDesktops",
        "ecd:StopDesktops",
        "ecd:CreateImage",
        "ecd:DescribeImages",
        "ecd:DeleteImages",
        "ecd:DescribeRegions",
        "ecd:DescribeZones",
        "ecd:GetConnectionTicket"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ess:CreateScalingGroup",
        "ess:ModifyScalingGroup",
        "ess:EnableScalingGroup",
        "ess:DisableScalingGroup",
        "ess:DeleteScalingGroup",
        "ess:SetGroupDeletionProtection",
        "ess:DescribeScalingGroups",
        "ess:DescribeScalingInstances",
        "ess:DescribeScalingActivities",
        "ess:DescribeScalingConfiguration",
        "ess:DescribeScalingRules",
        "ess:CreateScalingConfiguration",
        "ess:ModifyScalingConfiguration",
        "ess:DeleteScalingConfiguration",
        "ess:CreateScalingRule",
        "ess:ModifyScalingRule",
        "ess:DeleteScalingRule",
        "ess:ExecuteScalingRule",
        "ess:AttachInstances",
        "ess:DetachInstances",
        "ess:RemoveInstances",
        "ess:CreateScheduledTask",
        "ess:DeleteScheduledtask",
        "ess:ModifyScheduledTask",
        "ess:DescribeLimitation",
        "ess:CreateLifecycleHook",
        "ess:CompleteLifecycleAction",
        "ess:DeleteLifecycleHook",
        "ess:TagResources",
        "ess:ScaleWithAdjustment"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "cms:CreateDynamicTagGroup",
        "cms:DescribeMonitorGroups",
        "cms:DeleteDynamicTagGroup",
        "cms:DeleteMonitorGroup",
        "cms:DescribeContactGroupList",
        "cms:DescribeDynamicTagRuleList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "acm:DescribePrice",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:PassRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": "ecs.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": [
            "ess.aliyuncs.com",
            "gws.aliyuncs.com",
            "eci.aliyuncs.com"
          ]
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ehpc.aliyuncs.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "eci:RestartContainerGroup",
        "eci:DeleteContainerGroup"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "eci:tag/product": [
            "E-HPC"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "pvtz:AddZone",
        "pvtz:DescribeZoneInfo",
        "pvtz:BindZoneVpc",
        "pvtz:DescribeZoneVpcTree",
        "pvtz:DescribeZones",
        "pvtz:AddZoneRecord",
        "pvtz:DeleteZoneRecord",
        "pvtz:DescribeZoneRecords",
        "pvtz:UpdateZoneRecord",
        "pvtz:CheckZoneName",
        "pvtz:DeleteZone",
        "eci:DescribeContainerGroupEvents",
        "eci:DescribeContainerGroupMetric",
        "eci:DescribeContainerGroupStatus",
        "eci:DescribeContainerGroups",
        "eci:DescribeContainerLog",
        "eci:DescribeInstanceOpsRecords",
        "eci:DescribeMultiContainerGroupMetric",
        "eci:DescribeVirtualNodes",
        "eci:ExportContainerGroupTemplate",
        "eci:ListUsage"
      ],
      "Resource": "*"
    }
  ]
}

サービスロールを表示する

サービスロールが作成されると、RAM コンソールで名前でロールを検索して詳細を表示できます。

基本情報
[基本情報] セクションでは、ロールに関する基本情報（名前、作成時刻、Alibaba Cloud リソースネーム (ARN)、説明など）を表示できます。
権限
[権限] タブで、ポリシーの名前をクリックして、ポリシーの内容とロールがアクセスできるクラウドリソースを表示します。
信頼ポリシー
[信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーの内容を表示できます。信頼ポリシーは、RAM ロールの信頼できるエンティティについて説明します。信頼できるエンティティとは、RAM ロールを引き受けることができるエンティティのことです。サービスロールの信頼できるエンティティはクラウドサービスです。信頼ポリシーの Service フィールドの値を表示して、信頼できるエンティティを取得できます。

サービスロールに関する情報を表示する方法については、「RAM ロールの情報を表示する」をご参照ください。

サービスロールを削除する

重要

サービスロールを削除すると、ロールに依存する機能が使用できなくなります。注意して進めてください。

E-HPC を使用しなくなった場合は、RAM コンソールでサービスロールを削除します。詳細については、「RAM ロールを削除する」をご参照ください。

サービスロールを削除する前に、次の条件に注意してください。

クラスタの作成やクラスタに関連付けられたクラウドリソースの管理などの操作を実行するために、サービスロールを使用する必要がなくなりました。
サービスロールに依存する E-HPC クラスタを削除する必要があります。詳細については、「クラスタをリリースする」をご参照ください。