Elastic High Performance Computing (E-HPC) は、お客様に代わって他の Alibaba Cloud サービスにアクセスするためにサービスリンクロールを使用します。このページでは、ロールの権限について説明し、サービスリンクロールの作成、表示、および削除の方法について説明します。
サービスリンクロールとは
サービスリンクロールは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。Alibaba Cloud サービスがこのロールを引き受けると、他の Alibaba Cloud サービスにアクセスできるようになります。詳細については、「サービスリンクロール」をご参照ください。
次の表は、E-HPC サービスリンクロールとそのシステムポリシーについて説明しています。
ロール | システムポリシー | シナリオ |
AliyunServiceRoleForEHPC | AliyunServiceRolePolicyForEHPC | E-HPC が、Elastic Compute Service (ECS)、Virtual Private Cloud (VPC)、および Apsara File Storage NAS を含む関連するクラウドリソースにアクセスすることを承認します。 |
RAM ユーザーへの権限付与
RAM ユーザーでサービスリンクロールを作成または削除するには、Alibaba Cloud アカウントから必要な権限を付与します。
方法 1: AliyunEHPCFullAccess ポリシーを RAM ユーザーにアタッチします。このポリシーには、E-HPC サービスリンクロールを作成および削除する権限が含まれています。
方法 2:
Action要素に次のアクションを含むカスタムポリシーを作成し、そのポリシーを RAM ユーザーにアタッチします。サービスリンクロールの作成:
ram:CreateServiceLinkedRoleサービスリンクロールの削除:
ram:DeleteServiceLinkedRole
詳細については、このトピックの「サービスリンクロールの作成と削除に必要な権限」をご参照ください。
サービスリンクロールの作成
E-HPC を使用すると、システムはご利用の Alibaba Cloud アカウントに AliyunServiceRoleForEHPC が存在するかどうかを確認します。ロールが存在しない場合、システムは通知を表示します。確認後、システムは AliyunServiceRoleForEHPC を自動的に作成します。
システムがロールを作成すると、E-HPC はそのロールを引き受けて関連するクラウドリソースにアクセスできます。ECS インスタンスや NAS ファイルシステムなど、作成したリソースに対して料金が発生する場合があります。
AliyunServiceRolePolicyForEHPC は、AliyunServiceRoleForEHPC にアタッチされているプリセットポリシーです。このポリシーの権限を追加、変更、または削除することはできません。
AliyunServiceRolePolicyForEHPC の権限
次の JSON ブロックは、E-HPC サービスリンクロールに付与されているすべての権限をサービス別に一覧表示しています。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:RunInstances",
"ecs:DescribeInstances",
"ecs:DescribeInstanceTypes",
"ecs:DescribeKeyPairs",
"ecs:DescribeSecurityGroups",
"ecs:DescribePrice",
"ecs:DescribeZones",
"ecs:DescribeAvailableResource",
"ecs:DescribeCloudAssistantStatus",
"ecs:CreateSecurityGroup",
"ecs:DescribeImages",
"ecs:AttachKeyPair",
"ecs:ModifyInstanceAttribute",
"ecs:StartInstance",
"ecs:StopInstance",
"ecs:DeleteInstance",
"ecs:CreateInstance",
"ecs:ReplaceSystemDisk",
"ecs:RebootInstance",
"ecs:AuthorizeSecurityGroup",
"ecs:RevokeSecurityGroup",
"ecs:CreateHpcCluster",
"ecs:ModifyHpcClusterAttribute",
"ecs:DeleteHpcCluster",
"ecs:DescribeHpcClusters",
"ecs:DeleteSecurityGroup",
"ecs:DescribeDisks",
"ecs:ReInitDisk",
"ecs:CreateCommand",
"ecs:InvokeCommand",
"ecs:StopInvocation",
"ecs:DeleteCommand",
"ecs:DescribeCommands",
"ecs:ModifyCommand",
"ecs:DescribeInvocations",
"ecs:DescribeInvocationResults",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:CreateNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:AttachNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DeleteNetworkInterfacePermission",
"ecs:DescribeResourceAllocation",
"ecs:TagResources",
"ecs:DescribeManagedInstances",
"eci:BatchCreateContainerGroups",
"eci:CreateContainerGroup"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"vpc:AllocateEipAddress",
"vpc:DescribeEipAddresses",
"vpc:AssociateEipAddress",
"vpc:DescribeVSwitches",
"vpc:ReleaseEipAddress",
"vpc:CreateVpc",
"vpc:CreateVSwitch"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"nas:DescribeFileSystems",
"nas:DescribeMountTargets",
"nas:CreateFileSystem",
"nas:CreateMountTarget",
"nas:CreateAccessGroup",
"nas:CreateAccessRule",
"nas:DeleteAccessGroup",
"nas:DeleteAccessRule",
"nas:DescribeAccessGroups",
"nas:DescribeAccessRules",
"nas:ModifyFileSystem",
"nas:UpdateFileSystemInfo",
"nas:CPFSCreateFileSystem",
"nas:CPFSDescribeFileSystems",
"nas:CPFSModifyFileSystem",
"nas:CreateLDAPConfig",
"nas:DeleteLDAPConfig",
"nas:DescribeLDAPConfig"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecd:CreateRAMDirectory",
"ecd:CreateADConnectorDirectory",
"ecd:DescribeDirectories",
"ecd:DeleteDirectories",
"ecd:CreateBundle",
"ecd:DescribeBundles",
"ecd:DeleteBundles",
"ecd:ListDirectoryUsers",
"ecd:ModifyEntitlement",
"ecd:CreatePolicyGroup",
"ecd:DescribePolicyGroups",
"ecd:ModifyPolicyGroup",
"ecd:DeletePolicyGroups",
"ecd:CreateDesktops",
"ecd:DescribeDesktops",
"ecd:RebootDesktops",
"ecd:DeleteDesktops",
"ecd:DescribeDesktopTypes",
"ecd:StartDesktops",
"ecd:StopDesktops",
"ecd:CreateImage",
"ecd:DescribeImages",
"ecd:DeleteImages",
"ecd:DescribeRegions",
"ecd:DescribeZones",
"ecd:GetConnectionTicket"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ess:CreateScalingGroup",
"ess:ModifyScalingGroup",
"ess:EnableScalingGroup",
"ess:DisableScalingGroup",
"ess:DeleteScalingGroup",
"ess:SetGroupDeletionProtection",
"ess:DescribeScalingGroups",
"ess:DescribeScalingInstances",
"ess:DescribeScalingActivities",
"ess:DescribeScalingConfiguration",
"ess:DescribeScalingRules",
"ess:CreateScalingConfiguration",
"ess:ModifyScalingConfiguration",
"ess:DeleteScalingConfiguration",
"ess:CreateScalingRule",
"ess:ModifyScalingRule",
"ess:DeleteScalingRule",
"ess:ExecuteScalingRule",
"ess:AttachInstances",
"ess:DetachInstances",
"ess:RemoveInstances",
"ess:CreateScheduledTask",
"ess:DeleteScheduledtask",
"ess:ModifyScheduledTask",
"ess:DescribeLimitation",
"ess:CreateLifecycleHook",
"ess:CompleteLifecycleAction",
"ess:DeleteLifecycleHook",
"ess:TagResources",
"ess:ScaleWithAdjustment"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cms:CreateDynamicTagGroup",
"cms:DescribeMonitorGroups",
"cms:DeleteDynamicTagGroup",
"cms:DeleteMonitorGroup",
"cms:DescribeContactGroupList",
"cms:DescribeDynamicTagRuleList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "acm:DescribePrice",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"acs:Service": "ecs.aliyuncs.com"
}
}
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"ess.aliyuncs.com",
"gws.aliyuncs.com",
"eci.aliyuncs.com"
]
}
}
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ehpc.aliyuncs.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"eci:RestartContainerGroup",
"eci:DeleteContainerGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"eci:tag/product": [
"E-HPC"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"pvtz:AddZone",
"pvtz:DescribeZoneInfo",
"pvtz:BindZoneVpc",
"pvtz:DescribeZoneVpcTree",
"pvtz:DescribeZones",
"pvtz:AddZoneRecord",
"pvtz:DeleteZoneRecord",
"pvtz:DescribeZoneRecords",
"pvtz:UpdateZoneRecord",
"pvtz:CheckZoneName",
"pvtz:DeleteZone",
"eci:DescribeContainerGroupEvents",
"eci:DescribeContainerGroupMetric",
"eci:DescribeContainerGroupStatus",
"eci:DescribeContainerGroups",
"eci:DescribeContainerLog",
"eci:DescribeInstanceOpsRecords",
"eci:DescribeMultiContainerGroupMetric",
"eci:DescribeVirtualNodes",
"eci:ExportContainerGroupTemplate",
"eci:ListUsage"
],
"Resource": "*"
}
]
}サービスリンクロールの表示
サービスリンクロールが作成されたら、RAM コンソールで名前によって検索し、その詳細を表示します。
基本情報 [基本情報] セクションでは、ロール名、作成時間、Alibaba Cloud リソース名 (ARN)、および説明を表示できます。
権限 [権限] タブで、ポリシー名をクリックすると、ポリシーの内容とロールがアクセスできるクラウドリソースを表示できます。
信頼ポリシー 信頼ポリシー タブで、ロールにアタッチされた信頼ポリシーを確認します。信頼ポリシーには、RAM ロールの信頼できるエンティティが記述されています。信頼できるエンティティは、その RAM ロールを偽装できます。サービスリンクロールの場合、信頼できるエンティティはクラウドサービスです。信頼できるエンティティを特定するには、信頼ポリシー内の
Serviceフィールドを確認してください。
詳細については、「RAM ロールの情報の表示」をご参照ください。
サービスリンクロールの削除
サービスリンクロールを削除すると、そのロールに依存するすべての機能が利用できなくなります。慎重に進めてください。
E-HPC を使用しなくなった場合は、RAM コンソールでサービスリンクロールを削除します。詳細については、「RAM ロールの削除」をご参照ください。
サービスリンクロールを削除する前に、次の条件が満たされていることを確認してください。
クラスターの作成や、クラスターに関連付けられているクラウドリソースの管理などの操作に、サービスリンクロールを使用する必要がなくなっていること。
ロールに依存するすべての E-HPC クラスターが削除されていること。詳細については、「クラスターのリリース」をご参照ください。