このトピックでは、Elastic Container Instance のサービスリンクロールである AliyunServiceRoleForECI と、サービスリンクロールの削除方法について説明します。
背景情報
AliyunServiceRoleForECI は、Elastic Container Instance のサービスリンクロールです。このロールは、特定のシナリオで他の Alibaba Cloud サービスにアクセスするために Elastic Container Instance に定義された Resource Access Management (RAM) ロールです。サービスリンクロールの詳細については、サービスリンクロール を参照してください。
シナリオ
エラスティックコンテナインスタンスまたはイメージキャッシュを作成する際に、Elastic Container Instance が Elastic Compute Service (ECS)、Virtual Private Cloud (VPC)、Container Registry (ACR)、Log Service (SLS)、または Server Load Balancer (SLB) のリソースにアクセスする必要がある場合、自動的に作成された AliyunServiceRoleForECI ロールを使用してアクセス許可を取得できます。
AliyunServiceRoleForECI のアクセス許可
AliyunServiceRoleForECI ロールにアタッチされているアクセス許可ポリシーは AliyunServiceRolePolicyForECI で、クラウドサービスに対する以下のアクセス許可が含まれています。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:CreateNetworkInterfacePermission",
"ecs:DeleteNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:AttachNetworkInterface",
"ecs:DetachNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeSecurityGroups",
"ecs:TagResources"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVSwitches",
"vpc:DescribeVSwitchAttributes",
"vpc:DescribeVpcs",
"vpc:AssociateEipAddress",
"vpc:UnassociateEipAddress",
"vpc:DescribeEipAddresses",
"vpc:AllocateEipAddress",
"vpc:ReleaseEipAddress",
"vpc:AddCommonBandwidthPackageIp",
"vpc:RemoveCommonBandwidthPackageIp",
"vpc:DescribeIpv6Addresses",
"vpc:DescribeIpv6Gateways",
"vpc:AllocateIpv6InternetBandwidth",
"vpc:TagResources"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cr:PullRepository",
"cr:GetAuthorizationToken",
"cr:GetRepositoryLayers",
"cr:GetRepositoryManifest",
"cr:GetRepositoryTag",
"cr:GetRepository",
"cr:ListInstance",
"cr:ListInstanceEndpoint"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:CreateProject",
"log:GetProject",
"log:CreateLogStore",
"log:GetLogStore",
"log:CreateMachineGroup",
"log:CreateConfig",
"log:GetConfig",
"log:ApplyConfigToGroup",
"log:GetAppliedConfigs",
"log:CreateIndex",
"log:TagResources"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"slb:DescribeLoadBalancers",
"slb:RemoveBackendServers"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "eci.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForECI の削除
AliyunServiceRoleForECI サービスリンクロールを削除するには、Elastic Container Instance コンソールを使用するか、オペレーションを呼び出すことで、ロールに関連付けられている Elastic Container Instance リソース (エラスティックコンテナインスタンスやイメージキャッシュなど) を削除する必要があります。関連するエラスティックコンテナインスタンスとイメージキャッシュを削除した後、AliyunServiceRoleForECI を削除できます。詳細については、RAM ロールの削除 を参照してください。