すべてのプロダクト
Search

このプロダクト

    Lindorm:Lindorm のサービスリンクロール

    ドキュメントセンター

    Lindorm:Lindorm のサービスリンクロール

    最終更新日:Mar 28, 2026

    Lindorm は、透過的データ暗号化 (TDE) が有効になっている場合に、Key Management Service (KMS) へのアクセスのために AliyunServiceRoleForTSDBLindormEncryption サービスリンクロールを使用します。このロールは、Lindorm インスタンスで TDE を有効化した際にシステムが自動的に作成するため、手動での設定は不要です。

    背景情報

    サービスリンクロールとは、クラウドサービスが自動的に作成・管理する Resource Access Management (RAM) ロールです。標準的な RAM ロールとは異なり、サービスリンクロールには以下の制限があります:

    • アタッチ済みのポリシーを変更または削除できません。

    • ロールに対してポリシーをアタッチしたり、デタッチしたりできません。

    詳細については、「サービスリンクロール」をご参照ください。

    AliyunServiceRoleForTSDBLindormEncryption

    属性
    ロール名AliyunServiceRoleForTSDBLindormEncryption
    ポリシー名AliyunServiceRoleForTSDBLindormEncryption
    信頼済みサービスencryption.hitsdb.aliyuncs.com
    作成タイミングTDE が Lindorm インスタンスで有効になったときに自動で

    このロールにより、Lindorm は TDE 操作のために KMS にアクセスできます。アタッチされたポリシーには、以下の 2 つの権限グループが含まれます:

    • キーのクエリkms:ListKeyskms:ListResourceTagskms:DescribeKey):ご利用のアカウント内のすべての KMS リソースに適用されます。

    • キー操作kms:Encryptkms:Decryptkms:GenerateDataKeykms:CreateAlias):タグ acs:lindorm:instance-encryption=true が付与された KMS キーにのみ適用されます。

    完全なポリシー:

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListKeys",
        "kms:ListResourceTags",
        "kms:DescribeKey"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:CreateAlias"
      ],
      "Resource": [
        "acs:kms:*:*:*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:lindorm:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}

    AliyunServiceRoleForTSDBLindormEncryption ロールの削除

    このロールを削除する前に、ご利用のアカウント内のどのインスタンスもこのロールを使用していないことを確認してください。ロールを削除するには、「サービスリンクロールの削除」の手順に従ってください。

    RAM ユーザーにロール作成権限を付与する

    通常、Alibaba Cloud アカウントの管理者には、サービスリンクロールを作成するために必要な権限が既に付与されています。RAM ユーザーが十分な権限を持たない場合は、Lindorm の暗号化サービス向けに ram:CreateServiceLinkedRole 権限をスコープ指定して付与してください。

    以下の内容でカスタムポリシーを作成し、RAM ユーザーにアタッチします。手順については、「カスタムポリシーの作成」および「RAM ユーザーへの権限付与」をご参照ください。

    {
  "Version": "1",
  "Statement": [
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "encryption.hitsdb.aliyuncs.com"
        }
      }
    }
  ]
}