RAM サービスロールの作成による E-HPC クラスターアクセス認可 - Elastic High Performance Computing

Elastic High Performance Computing (E-HPC) を使用する場合、サービスロール `AliyunECSInstanceForEHPCRole` を作成し、ポリシー `AliyunECSInstanceForEHPCRolePolicy` をアタッチする必要があります。このトピックでは、このサービスロールの作成、表示、削除方法について説明します。

機能概要

サービスロールは、Alibaba Cloud サービスが引き受けることができる Resource Access Management (RAM) ロールの一種です。このロールは、異なる Alibaba Cloud サービス間のアクセス権限を管理するために使用されます。詳細については、「RAM ロールの概要」をご参照ください。

E-HPC を使用すると、システムは次のサービスロールとシステムポリシーを提供します。

サービスロール： AliyunECSInstanceForEHPCRole
システムポリシー： AliyunECSInstanceForEHPCRolePolicy

利用シーン

`AliyunECSInstanceForEHPCRole` は、E-HPC クラスター内のノード (Elastic Computing Service (ECS) インスタンス) が他のクラウドリソースにアクセスすることを承認します。このロールにより、ECS インスタンスは ECS および E-HPC へのアクセス権限を取得します。

RAM ユーザーがサービスロールを使用するための権限

RAM ユーザーとしてサービスロールを作成または削除するには、まず Alibaba Cloud アカウントがその RAM ユーザーに必要な権限を付与する必要があります。

方法 1： `AliyunEHPCFullAccess` ポリシーを付与します。このポリシーには、`AliyunECSInstanceForEHPCRole` を作成および削除する権限が含まれています。
方法 2： RAM ユーザーのカスタムポリシーの Action ステートメントに次の権限を追加します。
- サービスロールの作成： ram:CreateRole
- サービスロールの削除： ram:DeleteRole

サービスロールの作成

E-HPC を使用すると、システムはアカウントに `AliyunECSInstanceForEHPCRole` が存在するかどうかを確認します。ロールが存在しない場合は、プロンプトが表示されます。プロンプトを確認すると、システムは自動的に `AliyunECSInstanceForEHPCRole` を作成し、`AliyunECSInstanceForEHPCRolePolicy` をアタッチします。

`AliyunECSInstanceForEHPCRole` には、システムポリシー `AliyunECSInstanceForEHPCRolePolicy` がアタッチされています。システムポリシーは変更できませんが、他のアクセスポリシーをロールにアタッチすることは可能です。

AliyunECSInstanceForEHPCRolePolicy ポリシーを展開して表示

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:StartInstances",
                "ecs:StopInstances",
                "ecs:DeleteInstances",
                "ecs:DescribeInstances",
                "cms:QueryMetricLast",
                "cms:QueryMetricList",
                "ess:DescribeScalingConfigurations",
                "ess:ModifyScalingConfiguration",
                "ess:ModifyScalingRule",
                "ess:ExecuteScalingRule",
                "ess:RemoveInstances",
                "oss:PutObject",
                "oss:GetObject",
                "oss:ListObjects",
                "oss:ListBuckets",
                "ehpc:*",
                "ecs:CreateCommand",
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:DescribeCommands",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:ListSecurityGroups",
                "ecs:AuthorizeSecurityGroup"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

サービスロールの表示

サービスロールが作成された後、RAM コンソールの [ロール] ページに移動し、`AliyunECSInstanceForEHPCRole` を検索してその詳細を表示できます。

基本情報
ロールの詳細ページの [基本情報] セクションで、ロール名、作成時間、ARN、説明などの基本情報を表示できます。
権限ポリシー
ロールの詳細ページの [権限管理] タブで、ポリシー名をクリックすると、ポリシードキュメントとロールがアクセスできるクラウドリソースを表示できます。
信頼ポリシー
ロールの詳細ページの [信頼ポリシー] タブで、信頼ポリシードキュメントを表示できます。信頼ポリシーは、RAM ロールを引き受けることができる信頼されたエンティティを指定します。サービスロールの場合、信頼されたエンティティは Alibaba Cloud サービスであり、信頼ポリシーの Service フィールドで確認できます。

詳細については、「RAM ロールの表示」をご参照ください。

制限事項と権限の拡張

重要

ECS コンソールで、マスターノードまたはログインノードから AliyunECSInstanceForEHPCRole をデタッチしたり置き換えたりしないでください。このロールをマスターノードからデタッチすると、クラスターの自動スケーリングが無効になります。ログインノードからデタッチすると、Web Portal 機能が誤動作します。

サービスロールへのカスタムポリシーのアタッチ

ノードに追加の API 呼び出し権限を付与するには、AliyunECSInstanceForEHPCRole ロールをデタッチまたは置き換えるのではなく、カスタムポリシーをアタッチします。次の手順に従ってください。

RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID 管理] > [ロール] を選択します。
ロールリストで AliyunECSInstanceForEHPCRole を検索してクリックします。
[権限管理] タブで [権限の付与] をクリックし、必要なカスタムポリシーを選択または作成します。
[OK] をクリックして権限付与を完了します。

カスタムポリシーの詳細については、「アクセスポリシーの基本要素」をご参照ください。

サービスロールの削除

重要

サービスロールを削除すると、それに依存する機能が動作しなくなります。操作は慎重に行ってください。

長期間 E-HPC を使用する予定がない場合は、RAM コンソールでサービスロールを手動で削除できます。詳細な手順については、「RAM ロールの削除」をご参照ください。

`AliyunECSInstanceForEHPCRole` を削除する前に、次の条件が満たされていることを確認してください。

サービスロールが不要になった場合。たとえば、クラスターの作成やクラスターノードの管理を計画していない場合などです。
このサービスロールに依存するすべての E-HPC クラスターを削除した場合。詳細については、「クラスターのリリース」をご参照ください。