すべてのプロダクト
Search

このプロダクト

    Identity as a Service:IDaaS EIAM のサービスリンクロール

    ドキュメントセンター

    Identity as a Service:IDaaS EIAM のサービスリンクロール

    最終更新日:Mar 04, 2026

    このトピックでは、IDaaS EIAM のサービスリンクロール (AliyunServiceRoleForEiam) の利用シーンと、その削除方法について説明します。

    背景情報

    IDaaS EIAM のサービスリンクロール (AliyunServiceRoleForEiam) は、IDaaS EIAM が特定の機能のために他の Alibaba Cloud サービスにアクセスするために使用する RAM ロールです。 サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。

    利用シーン

    • IDaaS EIAM の専用エンドポイント機能は、ご利用の ECS および VPC クラウドリソースにアクセスします。 これにより、IDaaS は自身が作成した補助 Elastic Network Interface (ENI) を管理できます。 これらの権限により、IDaaS は PrivateLink を使用して、パブリックポートを公開することなく、VPC 内の Active Directory (AD)、LDAP、またはその他のアプリケーションに接続できます。 また、IDaaS は専用エンドポイントの IP アドレスを介してインターネットにアクセスし、WeCom の信頼できる IP 要件を満たすこともできます。

    • IDaaS EIAM の認証情報管理機能は、ご利用の KMS クラウドリソースにアクセスします。 これにより、IDaaS は Secrets Manager で認証情報を安全にホストし、安全なストレージと管理を実現できます。

    AliyunServiceRoleForEiam の概要

    ロール名: AliyunServiceRoleForEiam

    アクセスポリシー: AliyunServiceRolePolicyForEiam

    権限:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:ModifyNetworkInterfaceAttribute",
        "ecs:DescribeNetworkInterfaceAttribute",
        "ecs:CreateSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroupReferences",
        "ecs:ModifySecurityGroupAttribute",
        "ecs:ModifySecurityGroupRule",
        "ecs:DetachNetworkInterface",
        "ecs:AttachNetworkInterface",
        "ecs:ModifySecurityGroupPolicy",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DescribeInstances",
        "ecs:DescribeImages",
        "ecs:DescribeZones",
        "ecs:DescribeRegions",
        "ecs:DescribeTags"
      ],
      "Resource": "",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "vpc:DescribeNatGateways",
        "vpc:DescribeSnatTableEntries"
      ],
      "Resource": "",
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:CreateSecret",
        "kms:DeleteSecret",
        "kms:DescribeSecret",
        "kms:PutSecretValue",
        "kms:UpdateSecret",
        "kms:UpdateSecretVersionStage",
        "kms:ListSecretVersionIds",
        "kms:GetSecretValue"
      ],
      "Resource": [
        "acs:kms:::secret/idaas-eiam!"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListManagedQuotas",
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:TagResource",
        "kms:UntagResource"
      ],
      "Resource": [
        ""
      ]
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "eiam.aliyuncs.com"
        }
      }
    }
  ]
}

    サービスリンクロールの削除

    AliyunServiceRoleForEiam サービスリンクロールを削除する前に、すべての IDaaS EIAM インスタンスをリリースする必要があります。