このトピックでは、仮想ノードに対する操作を実行するために使用できる AliyunServiceRoleForECIVnode サービスリンクロールと、サービスリンクロールを削除する方法について説明します。
背景情報
仮想ノード用の AliyunServiceRoleForECIVnode サービスリンクロールは、Elastic Container Instance によって提供される RAM ロールです。サービスリンクロールが割り当てられると、ロールを引き受けて他の Alibaba Cloud サービスにアクセスし、仮想ノード関連の機能を実装できます。サービスリンクロールの詳細については、サービスリンクロール を参照してください。
シナリオ
仮想ノードを作成すると、システムは Elastic Container Instance、Elastic Compute Service (ECS)、および Virtual Private Cloud (VPC) のリソースにアクセスします。このシナリオでは、自動的に作成されたサービスリンクロール AliyunServiceRoleForECIVnode を使用してアクセス許可を付与できます。
権限の説明
AliyunServiceRoleForECIVnode サービスリンクロールにアタッチされているポリシーは AliyunServiceRolePolicyForECIVnode です。このポリシーには、クラウドサービスに対する以下のアクセス許可が含まれています。
{
"Version": "1",
"Statement": [
{
"Action": [
"eci:CreateContainerGroup",
"eci:CreateContainerGroupFromTemplate",
"eci:UpdateContainerGroup",
"eci:UpdateContainerGroupByTemplate",
"eci:RestartContainerGroup",
"eci:DeleteContainerGroup",
"eci:DescribeContainerGroups",
"eci:ExportContainerGroupTemplate",
"eci:ExecContainerCommand",
"eci:CreateImageCache",
"eci:DeleteImageCache",
"eci:UpdateImageCache",
"eci:DescribeImageCaches",
"eci:DescribeContainerGroupMetric",
"eci:DescribeMultiContainerGroupMetric",
"eci:DescribeContainerLog",
"eci:DescribeContainerGroupPrice",
"eci:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVSwitches",
"vpc:DescribeVpcs",
"vpc:DescribeEipAddresses"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:CreateNetworkInterfacePermission",
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:DescribeSecurityGroups"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "vnode.eci.aliyuncs.com"
}
}
}
]
}サービスリンクロールの削除
サービスリンクロール AliyunServiceRoleForECIVnode を削除する前に、OpenAPI Explorer を使用して、サービスリンクロールに関連付けられている仮想ノードを削除する必要があります。仮想ノードを削除した後、AliyunServiceRoleForECIVnode サービスリンクロールを削除できます。詳細については、RAM ロールの削除 を参照してください。