ApsaraMQ for MNS トピックにクロスアカウントプッシュ権限を設定し、Alibaba Cloud アカウント間でメッセージを配信できるようにします。
前提条件
2 つの Alibaba Cloud アカウント (アカウント A とアカウント B) が必要です。
-
Alibaba Cloud アカウント A:アカウント ID は
testAccountIDです。 -
Alibaba Cloud アカウント B:アカウント ID は
testAccountID1です。
この例では、アカウント A を使用してアカウント B にメッセージをプッシュします。
ステップ 1: アカウント B の RAM ロールの作成
-
アカウント A が引き受け可能な Resource Access Management (RAM) ロールを作成します。
-
Alibaba Cloud アカウント B または管理者権限を持つ RAM ユーザーで RAM コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。
-
Roles ページで、[Create Role] をクリックします。
-
[Create Role] ページで、Principal Type を クラウドサービス に設定し、Alibaba Cloud サービスを選択してから、[OK] をクリックします。
-
[Create Role] ダイアログボックスで、ロール名 を入力し、[OK] をクリックします。
-
-
RAM ロールの信頼ポリシーを変更します。
-
[Trust Policy] タブで、[Edit Trust Policy] をクリックします。
-
エディタで信頼ポリシーを変更し、[OK] をクリックします。
説明"Service": "mns.aliyuncs.com"を"Service": "testAccountID@mns.aliyuncs.com"に変更します。testAccountIDを Alibaba Cloud アカウント A のアカウント ID に置き換えてください。
-
ステップ 2: RAM ロールへのクロスアカウント権限の付与
ApsaraMQ for MNS キューへのプッシュ
-
Alibaba Cloud アカウント B または管理者権限を持つ RAM ユーザーで RAM コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。
-
Policies ページで、[Create Policy] をクリックします。
-
[Create Policy] ページで、視覚化 タブをクリックします。
-
許可ポリシーを設定し、[OK] をクリックします。
-
効果 で、許可 を選択します。
-
サービス で、ApsaraMQ for MNS を選択します。
-
操作 で、指定操作 を選択し、[Write] セクションで [mns:SendMessage] チェックボックスにチェックを入れます。
-
リソース で、全部资源 または 指定资源 を選択します。
-
-
[Create Policy] ダイアログボックスで、Policy Name と [Description] を入力し、[OK] をクリックします。
-
左側のナビゲーションペインで、 を選択します。
-
Roles ページで、ステップ 1 で作成した RAM ロールの名前をクリックします。
-
Permissions タブで、指名手配の権限付与 をクリックします。
-
指名手配の権限付与 ダイアログボックスで、以下の設定を行い、[OK] をクリックします。
-
[policy type] で、[{type}] を選択します。
-
Policy Name に、カスタムポリシー名を入力します。
-
Function Compute
-
Alibaba Cloud アカウント B または管理者権限を持つ RAM ユーザーで RAM コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。
-
Roles ページで、ステップ 1 で作成した RAM ロールの名前をクリックします。
-
Permissions タブで、[Add Permissions] をクリックします。
-
[Add Permissions] パネルで、以下の設定を行い、Grant permissions をクリックします。
-
Resource Scope で、Account を選択します。
-
Policies で、[AliyunFCInvocationAccess] チェックボックスにチェックを入れます。
-
Message Queue for Apache Kafka へのプッシュ
-
Alibaba Cloud アカウント B または管理者権限を持つ RAM ユーザーで RAM コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。
-
Policies ページで、[Create Policy] をクリックします。
-
[Create Policy] ページで、JSON タブをクリックし、内容を以下のポリシーに置き換えてから、[OK] をクリックします。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "eventbridge:*EventStreaming", "Resource": "*" } ] } -
[Create Policy] ダイアログボックスで、Policy Name と [Description] を入力し、[OK] をクリックします。
-
左側のナビゲーションペインで、 を選択します。
-
Roles ページで、ステップ 1 で作成した RAM ロールの名前をクリックします。
-
Permissions タブで、指名手配の権限付与 をクリックします。
-
指名手配の権限付与 ダイアログボックスで、以下の設定を行い、[OK] をクリックします。
-
[policy type] で、[{type}] を選択します。
-
Policy Name に、カスタムポリシー名を入力します。
-
ステップ 3: RAM ロールの ARN の取得
アカウント A がクロスアカウントサブスクリプションを作成する際は、サービスにリンクされたロール フィールドに RAM ロール ARN を入力してください。
関連トピック
ApsaraMQ for MNS のクロスアカウントサブスクリプションガイド: