ApsaraDB for MongoDB は、お客様に代わって他の Alibaba Cloud サービスにアクセスするためにサービスリンクロールを使用します。サービスリンクロールとは、信頼できるエンティティが個人ユーザーまたはアプリケーションではなく、Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。RAM は各サービスリンクロールにシステムポリシーを自動的にアタッチします — このポリシーは変更できません。
ほとんどの場合、必要な機能を有効化すると、ロールが自動的に作成されます。自動作成が失敗した場合は、手動でロールを作成してください。
仕組み
監査ログ機能を有効化すると、ApsaraDB for MongoDB は AliyunServiceRoleForMongoDB というサービスリンクロールを自動的に作成します。このロールにより、ApsaraDB for MongoDB は監査ログの保存および管理に必要な Simple Log Service (SLS) リソースへアクセスできます。
このロールには、以下の 3 つの主要な属性があります:
ロール名:AliyunServiceRoleForMongoDB
信頼されるサービス:ApsaraDB for MongoDB(信頼ポリシーの
Serviceフィールドに表示)権限ポリシー:SLS リソースへのアクセスを許可するシステムポリシー — ロール詳細ページの 権限 タブで確認できます
ロールが作成された後、ApsaraDB for MongoDB はお客様に代わって SLS にアクセスできます。この操作により、Simple Log Service の課金が発生する場合があります。
RAM ユーザーに必要な権限
お客様のアカウントが RAM ユーザーである場合、AliyunMongoDBFullAccess 権限、または以下の操作を含むカスタムポリシーが必要です:
| 操作 | 対象 |
|---|---|
ram:CreateServiceLinkedRole | サービスリンクロールの作成 |
ram:DeleteServiceLinkedRole | サービスリンクロールの削除 |
これらの権限を付与する手順については、「サービスリンクロール」の「サービスリンクロールの作成および削除に必要な権限」セクションをご参照ください。
サービスリンクロールの作成
ロールは、監査ログ機能を有効化すると自動的に作成されます。ほとんどの場合、手動での操作は不要です。
ロールが自動的に作成されなかった場合は、以下のいずれかの方法で手動で作成してください:
RAM コンソール:「信頼される Alibaba Cloud サービス向けの RAM ロールの作成」の「サービスリンクロールの作成」セクションをご参照ください。
API:CreateServiceLinkedRole 操作を呼び出します。
サービスリンクロールの表示
ロールが作成された後、RAM コンソールの ロール ページで AliyunServiceRoleForMongoDB を検索することで、該当ロールを見つけることができます。ロール詳細ページには、以下の情報が表示されます:
基本情報 — ロール名、作成日時、Alibaba Cloud リソース名 (ARN)、説明
権限 タブ — システムポリシーの内容およびロールがアクセス可能な Alibaba Cloud リソース
信頼ポリシー管理 タブ — 信頼ポリシー(ApsaraDB for MongoDB を信頼エンティティとして識別する
Serviceフィールドを含む)
詳細については、「RAM ロールの情報を表示」をご参照ください。
サービスリンクロールの削除
サービスリンクロールを削除すると、そのロールに依存する機能は使用できなくなります。慎重に実行してください。
ロールを削除する前に、AliyunServiceRoleForMongoDB を使用しているすべての ApsaraDB for MongoDB インスタンスをリリースまたはサブスクリプション登録を解除してください。「インスタンスのリリース」および「」をご参照ください。
すべての依存インスタンスをリリースした後、RAM コンソール からロールを削除してください。手順については、「RAM ロールの削除」をご参照ください。