動的ECSシークレットのサービスにリンクされたロールを管理する - Key Management Service

Key Management Service (KMS) で動的Elastic Compute Service (ECS) シークレットを使用するには、サービスにリンクされたロールを使用して、ECSインスタンスやクラウドアシスタントなどの関連リソースにアクセスする権限をsecrets Managerに付与する必要があります。このトピックでは、動的ECSシークレットのサービスにリンクされたロールAliyunServiceRoleForKMSSecretsManagerForECSの権限ポリシーと、ロールを作成および削除する方法について説明します。

権限の説明

ロール名: AliyunServiceRoleForKMSSecretsManagerForECS。

ポリシー: AliyunServiceRolePolicyForKMSSecretsManagerForECS。

権限の説明: Secrets Managerは、このロールを使用して動的ECSシークレットを管理します。たとえば、Secrets Managerはこのロールを使用して、ECSインスタンスのパスワードとSSHキーをローテーションします。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeInstances",
        "ecs:InvokeCommand",
        「ecs:DescribeInvocationResults」
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*" 、
        "acs:ecs:*:*:command/cmd-ACS-KMS-RotateECSSecret *"
      ]
    },
    {
      "Action": [
        "kms:ListSecretVersionIds" 、
        "kms:GetSecretValue" 、
        "kms:DescribeSecret" 、
        "kms:PutSecretValue" 、
        "kms:UpdateSecretVersionStage"
      ],
      "リソース": "acs:kms:*:*:secret/acs/ecs/*" 、
      "Effect":"Allow"
    },
    {
      "アクション": "ram:DeleteServiceLinkedRole" 、
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "secretsmanager-ecs.kms.aliyuncs.com"
        }
      }
    }
  ]
}

サービスにリンクされたロールの作成

サービスにリンクされたロールが作成されていない場合、動的ECSシークレットの作成時に自動的に作成されます。

サービスにリンクされたロールの削除

サービスにリンクされたロールを削除する前に、現在のAlibaba Cloudアカウントの動的ECSシークレットを削除する必要があります。その後、RAMコンソールでサービスにリンクされたロールを削除できます。詳細については、「RAM ロールの削除」をご参照ください。