すべてのプロダクト
Search

このプロダクト

    Lindorm:Lindorm のサービスリンクロール

    ドキュメントセンター

    Lindorm:Lindorm のサービスリンクロール

    最終更新日:Jan 14, 2025

    Lindorm の透過的データ暗号化(TDE)機能を使用するには、AliyunServiceRoleForTSDBLindormEncryption サービスリンクロールを Lindorm に割り当てる必要があります。ロールが Lindorm に割り当てられると、Lindorm は現在の Alibaba Cloud アカウントでデータ暗号化機能を使用できます。

    背景情報

    サービスリンクロールとは、特定のクラウドサービスに関連付けられた Resource Access Management(RAM)ロールです。ほとんどの場合、クラウドサービスは必要に応じてサービスリンクロールを自動的に作成または削除します。サービスリンクロールを手動で作成または削除する必要はありません。たとえば、AliyunServiceRoleForTSDBLindormEncryption サービスリンクロールは、Lindorm が一部のシナリオで Key Management Service(KMS)にアクセスするための権限を取得するのに役立ちます。TDE 機能が有効になっている場合、システムはサービスリンクロールを自動的に作成します。サービスリンクロールの詳細については、サービスリンクロールをご参照ください。
    説明 サービスリンクロールにアタッチされているポリシーは、リンクされているクラウドサービスによって事前定義されています。このポリシーを変更または削除することはできません。サービスリンクロールにポリシーをアタッチしたり、サービスリンクロールからポリシーをデタッチしたりすることはできません。

    AliyunServiceRoleForTSDBLindormEncryption

    ロール名: AliyunServiceRoleForTSDBLindormEncryption

    ロールポリシー: AliyunServiceRoleForTSDBLindormEncryption

    権限の説明: このサービスリンクロールにより、Lindorm は KMS 内の関連リソースにアクセスできます。Lindorm の TDE 機能が有効になっている場合、サービスリンクロールを使用してキーを照会および管理できます。次のサンプルコードは、ポリシーコンテンツの例を示しています。
    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListResourceTags",
        "kms:DescribeKey"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:CreateAlias"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:lindorm:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}

    AliyunServiceRoleForGwsDiskEncryption ロールの削除

    AliyunServiceRoleForTSDBLindormEncryption サービスリンクロールを削除する場合、アカウント内のインスタンスでサービスリンクロールが使用されていないことを確認してください。詳細については、サービスリンクロールの削除をご参照ください。

    RAM ユーザーがサービスリンクロールを作成するために必要な権限

    ほとんどの場合、サービスリンクロールの作成に必要な権限は、対応するクラウドサービスの管理者ポリシーに含まれています。クラウドサービスの管理者権限が付与されている場合は、クラウドサービスのサービスリンクロールを作成できます。

    RAM ユーザーの権限が不十分な場合は、サービスリンクロールを RAM ユーザーに割り当てる前に、次の権限を付与できます。権限の付与方法については、カスタムポリシーの作成RAM ユーザーへの権限の付与をご参照ください。また、Alibaba Cloud アカウントにサービスリンクロールを割り当てることもできます。
        {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }