MSE サービスリンクロールを使用して他の Alibaba Cloud サービスにアクセスする - Microservices Engine

マイクロサービスエンジン (MSE) サービスリンクロール AliyunServiceRoleForMSE は、特定の機能を実装するために設計された定義済みの RAM ロールです。MSE を使用して特定の機能を実装する場合、アカウントの他の Alibaba Cloud サービスのリソースにアクセスまたは管理する必要があります。これにより、マイクロサービスアーキテクチャの機能が期待どおりに動作することが保証されます。他の Alibaba Cloud サービスには、仮想プライベートクラウド (VPC)、サーバーロードバランサー (SLB)、および Kubernetes 用のコンテナサービス (ACK) が含まれます。サービスリンクロールを作成して MSE に割り当てると、そのロールを使用してこれらのサービスに対する権限を取得および管理できます。これにより、複雑でエラーが発生しやすいポリシーの手動割り当てが回避され、権限管理プロセスが簡素化され、セキュリティが強化されます。このトピックでは、MSE サービスリンクロール AliyunServiceRoleForMSE と、ロールの削除方法について説明します。

シナリオ

MSE が他の Alibaba Cloud サービスのリソースにアクセスできるようにするには、自動的に作成される MSE サービスリンクロール AliyunServiceRoleForMSE を使用して、これらのサービスに対するアクセス許可を取得できます。サービスには、弾性計算サービス (ECS)、VPC、アプリケーションリアルタイム監視サービス (ARMS)、SLB、ACK、エンタープライズ分散アプリケーションサービス (EDAS)、および Alibaba Cloud Service Mesh (ASM) が含まれます。

権限の説明

AliyunServiceRoleForMSE には、次の権限があります。

ECS アクセス権限

{
  "Action": [
    "ecs:CreateNetworkInterfacePermission",
    "ecs:DeleteNetworkInterfacePermission",
    "ecs:CreateNetworkInterface",
    "ecs:DescribeNetworkInterfaces",
    "ecs:DescribeSecurityGroups",
    "ecs:CreateSecurityGroup"
  ],
  "Resource": "*",
  "Effect": "Allow"
}

VPC アクセス権限

{
  "Action": [
    "vpc:DescribeVSwitches",
    "vpc:DescribeVpcs",
    "vpc:CreateVSwitch",
  ],
  "Resource": "*",
  "Effect": "Allow"
},

ARMS アクセス権限

   {
            "Action": [
                "arms:OpenArmsService",
                "arms:OpenArmsServiceSecondVersion",
                "arms:CheckServiceStatus",
                "arms:OpenVCluster",
                "arms:GetPrometheusApiToken",
                "arms:ListDashboards"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

SLB アクセス権限

  {
            "Action": [
                "slb:CreateLoadBalancer",
                "slb:AddBackendServers",
                "slb:SetBackendServers",
                "slb:RemoveBackendServers",
                "slb:CreateLoadBalancerTCPListener",
                "slb:DescribeLoadBalancerTCPListenerAttribute",
                "slb:SetLoadBalancerTCPListenerAttribute",
                "slb:CreateLoadBalancerHTTPListener",
                "slb:DescribeLoadBalancerHTTPListenerAttribute",
                "slb:SetLoadBalancerHTTPListenerAttribute",
                "slb:CreateLoadBalancerHTTPSListener",
                "slb:DescribeLoadBalancerHTTPSListenerAttribute",
                "slb:SetLoadBalancerHTTPSListenerAttribute",
                "slb:StartLoadBalancerListener",
                "slb:StopLoadBalancerListener",
                "slb:DeleteLoadBalancerListener",
                "slb:DescribeLoadBalancers",
                "slb:DescribeLoadBalancerAttribute",
                "slb:DescribeHealthStatus",
                "slb:CreateLoadBalancerForCloudService",
                "slb:DeleteLoadBalancer",
                "slb:ModifyLoadBalancerInternetSpec",
                "slb:RemoveTags",
                "slb:AddTags",
                "slb:SetLoadBalancerUDPListenerAttribute",
                "slb:CreateLoadBalancerUDPListener",
                "slb:CreateVServerGroup",
                "slb:DeleteVServerGroup",
                "slb:SetVServerGroupAttribute",
                "slb:ModifyVServerGroupBackendServers",
                "slb:AddVServerGroupBackendServers",
                "slb:ModifyLoadBalancerInstanceSpec",
                "slb:ModifyLoadBalancerInternetSpec",
                "slb:RemoveVServerGroupBackendServers",
                "slb:SetLoadBalancerModificationProtection",
                "slb:SetLoadBalancerDeleteProtection",
                "slb:DescribeLoadBalancerUDPListenerAttribute  ",
                "slb:DescribeTags",
                "slb:DescribeVServerGroups",
                "slb:DescribeVServerGroupAttribute",
                "slb:DescribeLoadBalancerListeners"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

ACK アクセス権限

   {
            "Action": [
                "cs:DescribeClusterInnerServiceKubeconfig",
                "cs:RevokeClusterInnerServiceKubeconfig",
                "cs:GetUserConfig",
                "cs:DescribeClusterUserKubeconfig",
                "cs:GetClusterById",
                "cs:GetClustersByUid",
                "cs:GetClusters",
                "cs:ListClusters",
                "cs:DescribeClusterNodes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

EDAS アクセス権限

 {
            "Action": [
                "edas:ReadApplication",
                "edas:ReadCluster",
                "edas:ReadNamespace",
                "edas:ReadService",
                "edas:ListUserDefineRegion",
                "edas:GetSecureToken"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

ASM アクセス権限

   {
            "Action": [
                "servicemesh:CreateServiceMesh",
                "servicemesh:DeleteServiceMesh",
                "servicemesh:DescribeServiceMeshDetail",
                "servicemesh:DescribeServiceMeshKubeconfig",
                "servicemesh:AddClusterIntoServiceMesh",
                "servicemesh:RemoveClusterFromServiceMesh",
                "servicemesh:InitializeASMRole",
                "servicemesh:InvokeApiServer"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

AliyunServiceRoleForMSE の削除

説明

MSE を使用している場合、MSE サービスリンクロール AliyunServiceRoleForMSE を削除すると、サービステストまたはストレステストを実行できません。

Alibaba Cloud アカウントを使用して、Resource Access Management (RAM) コンソールにログオンします。左側のナビゲーションペインで、[ID] > [ロール] を選択します。
[ロール] ページで、検索ボックスに [aliyunserviceroleformse] と入力し、検索アイコンをクリックしてロールを検索します。
ロールの [アクション] 列にある [ロールの削除] をクリックします。
[ロールの削除] メッセージで、ロール名を入力し、[ロールの削除] をクリックします。

FAQ

MSE サービスリンクロール AliyunServiceRoleForMSE が RAM ユーザーに対して自動的に作成されないのはなぜですか？

AliyunServiceRoleForMSE ロールは、特定の権限を持っている場合にのみ自動的に作成または削除できます。システムが RAM ユーザーに対して AliyunServiceRoleForMSE ロールを自動的に作成しない場合は、次のポリシーを RAM ユーザーにアタッチします。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"  // サービスリンクロールを作成する
            ],
            "Resource": "acs:ram:*:Alibaba Cloud account ID:role/*", // Alibaba Cloud アカウント ID を置き換える
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "mse.aliyuncs.com" // MSE サービス名
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

説明

Alibaba Cloud account ID を Alibaba Cloud アカウントの ID に置き換えます。