Global Accelerator (GA) インスタンスに AliyunServiceRoleForGaVpcEndpoint サービスロールが割り当てられておらず、Elastic Compute Service (ECS) インスタンス、Application Load Balancer (ALB) インスタンス、Network Load Balancer (NLB) インスタンス、VPC 内の Classic Load Balancer (CLB) インスタンス、Elastic Network Interface (ENI)、またはカスタム プライベート IP アドレスを Global Accelerator インスタンスのエンドポイントとして指定した場合、システムは自動的に AliyunServiceRoleForGaVpcEndpoint サービスロールを作成します。
概要
AliyunServiceRoleForGaVpcEndpoint は、Global Accelerator サービスロールです。 ECS インスタンス、ALB インスタンス、NLB インスタンス、CLB インスタンス、ENI、またはカスタム プライベート IP アドレスを Global Accelerator のエンドポイントとして指定する場合、Global Accelerator にサービスロールを割り当てる必要があります。
サービスロールとは、Alibaba Cloud サービスに関連付けられた Resource Access Management (RAM) ロールです。 クラウドサービスの機能を使用するには、他のクラウドサービスにアクセスするための権限を最初に取得する必要がある場合があります。 サービスロールは、承認プロセスを簡素化し、誤操作を防ぎます。 詳細については、「サービスロール」をご参照ください。
サービスロールを作成するために必要な権限
デフォルトでは、Alibaba Cloud アカウントは、AliyunServiceRoleForGaVpcEndpoint サービスロールを作成する権限を持っています。 RAM ユーザーがサービスロールを作成するには、次の権限が付与されている必要があります。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "vpcendpoint.ga.aliyuncs.com"
}
}
}次のいずれかの方法で、RAM ユーザーにサービスロールを作成する権限を付与できます。
AliyunGlobalAccelerationFullAccess 管理者ポリシーを RAM ユーザーにアタッチします。 詳細については、「RAM ロールに権限を付与する」をご参照ください。
説明ほとんどの場合、Global Accelerator サービスロール AliyunServiceRoleForGaVpcEndpoint を作成するための権限は、AliyunGlobalAccelerationFullAccess 管理者ポリシーに含まれています。 RAM ユーザーが Global Accelerator に対する管理者権限を持っている場合、RAM ユーザーは Global Accelerator の AliyunServiceRoleForGaVpcEndpoint サービスロールを作成できます。
カスタムポリシーを RAM ユーザーにアタッチします。 次のコードブロックは、カスタムポリシーの内容を示しています。
{ "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "vpcendpoint.ga.aliyuncs.com" } } }詳細については、「カスタムポリシーを作成する」および「RAM ロールに権限を付与する」をご参照ください。
サービスロールを作成する
ECS インスタンス、ALB インスタンス、NLB インスタンス、CLB インスタンス、ENI、またはカスタム プライベート IP アドレスを Global Accelerator エンドポイントとして指定すると、システムは Global Accelerator に AliyunServiceRoleForGaVpcEndpoint サービスロールが割り当てられているかどうかを確認します。
AliyunServiceRoleForGaVpcEndpoint サービスロールが Global Accelerator に割り当てられていない場合、システムは自動的にサービスロールを作成し、AliyunServiceRoleForGaVpcEndpoint という名前のポリシーをサービスロールに追加します。 このポリシーは、Global Accelerator に ECS、ALB、NLB、CLB、ENI、およびカスタム プライベート IP アドレスにアクセスするための権限を付与します。 次のコードブロックは、ポリシーの内容を示しています。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Resource": "*", "Action": [ "ecs:CreateNetworkInterface", // ネットワークインターフェースを作成 "ecs:DeleteNetworkInterface", // ネットワークインターフェースを削除 "ecs:DescribeNetworkInterfaces", // ネットワークインターフェースを記述 "ecs:ModifyNetworkInterfaceAttribute", // ネットワークインターフェース属性を変更 "ecs:DescribeSecurityGroups", // セキュリティグループを記述 "ecs:CreateSecurityGroup", // セキュリティグループを作成 "ecs:AuthorizeSecurityGroup", // セキュリティグループを承認 "ecs:AuthorizeSecurityGroupEgress", // セキュリティグループの出力方向を承認 "ecs:RevokeSecurityGroup", // セキュリティグループを取り消し "ecs:RevokeSecurityGroupEgress", // セキュリティグループの出力方向を取り消し "ecs:JoinSecurityGroup", // セキュリティグループに参加 "ecs:LeaveSecurityGroup", // セキュリティグループから脱退 "ecs:DeleteSecurityGroup", // セキュリティグループを削除 "ecs:DescribeSecurityGroupAttribute", // セキュリティグループ属性を記述 "ecs:DescribeSecurityGroups", // セキュリティグループを記述 "ecs:DescribeSecurityGroupReferences", // セキュリティグループ参照を記述 "ecs:ModifySecurityGroupAttribute", // セキュリティグループ属性を変更 "ecs:ModifySecurityGroupEgressRule", // セキュリティグループの出力方向ルールを変更 "ecs:ModifySecurityGroupPolicy", // セキュリティグループポリシーを変更 "ecs:ModifySecurityGroupRule", // セキュリティグルールを変更 "vpc:DescribeVSwitches" // vSwitch を記述 ] }, { "Action": "ram:DeleteServiceLinkedRole", // サービスロールを削除 "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "vpcendpoint.ga.aliyuncs.com" } } } ] }AliyunServiceRoleForGaVpcEndpoint サービスロールが Global Accelerator に割り当てられている場合、システムはサービスロールを再作成しません。
サービスロールを削除する
システムは、Global Accelerator サービスロール AliyunServiceRoleForGaVpcEndpoint を自動的に削除しません。 サービスロールを削除するには、最初にエンドポイントとして機能する ECS インスタンス、ALB インスタンス、NLB インスタンス、CLB インスタンス、ENI、またはカスタム プライベート IP アドレスを削除する必要があります。 詳細については、以下のトピックをご参照ください。