AliyunServiceRoleForHSMLogDelivery は、Cloud ハードウェアセキュリティモジュール (HSM) がセキュリティ監査ログを Object Storage Service (OSS) に配信するために必要な権限を付与するサービスリンクロールです。
権限
AliyunServiceRoleForHSMLogDelivery には、次の権限があります。
| 権限 | リソース | 目的 |
|---|---|---|
oss:ListBuckets | すべてのバケット (acs:oss:*:*:*) | OSS バケットのリストを取得します |
oss:GetObject, oss:PutObject | acs:oss:*:*:*/aliyun-hsm-audit-log およびサブパス | 監査ログファイルを送信先バケット内の aliyun-hsm-audit-log パスに読み書きします |
ram:DeleteServiceLinkedRole | すべて (*), ram:ServiceName: logdelivery.hsm.aliyuncs.com | Resource Access Management (RAM) が不要になったときにこのロールを削除できるようにします |
このロールの完全なポリシーは次のとおりです。
{
"Statement": [
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "logdelivery.hsm.aliyuncs.com"
}
}
},
{
"Action": [
"oss:GetObject",
"oss:PutObject"
],
"Effect": "Allow",
"Resource": [
"acs:oss:*:*:*/aliyun-hsm-audit-log",
"acs:oss:*:*:*/aliyun-hsm-audit-log/*"
]
},
{
"Action": [
"oss:ListBuckets"
],
"Effect": "Allow",
"Resource": [
"acs:oss:*:*:*"
]
}
]
}サービスリンクロールの削除
AliyunServiceRoleForHSMLogDelivery を削除する前に、次のことを確認してください。
アクティブな HSM インスタンスがないこと
これらの両方の条件が満たされている場合、アクティブなワークロードがこのロールに依存していないことが保証されます。両方が満たされたら、RAM コンソールから ロールを削除 してください。