すべてのプロダクト
Search

このプロダクト

    Microservices Engine:MSE サービスリンクロール

    ドキュメントセンター

    Microservices Engine:MSE サービスリンクロール

    最終更新日:Nov 22, 2025

    Microservices Engine (MSE) サービスリンクロールは、特定の機能のために設計された事前定義済みの Resource Access Management (RAM) ロールです。これらのロールを作成して MSE に付与することで、MSE は必要な権限を自動的に取得および管理できます。これにより、複雑でエラーが発生しやすいアクセスポリシーを手動で割り当てる必要がなくなり、権限管理が簡素化され、セキュリティが向上します。このトピックでは、MSE のサービスリンクロールとその削除方法について説明します。

    AliyunServiceRoleForMSE

    シナリオ

    MSE が Elastic Compute Service (ECS)Virtual Private Cloud (VPC)Application Real-Time Monitoring Service (ARMS)Server Load Balancer (SLB)Container Service for Kubernetes (ACK)Enterprise Distributed Application Service (EDAS)Alibaba Cloud Service Mesh (ASM) などの他の Alibaba Cloud サービスのリソースにアクセスする必要がある場合、自動的に作成された AliyunServiceRoleForMSE サービスリンクロールを使用してアクセス権限を取得します。

    権限の説明

    AliyunServiceRoleForMSE ロールには、次の Alibaba Cloud サービスへのアクセス権限があります。

    ECS のアクセス権限

    {
  "Action": [
    "ecs:CreateNetworkInterfacePermission",
    "ecs:DeleteNetworkInterfacePermission",
    "ecs:CreateNetworkInterface",
    "ecs:DescribeNetworkInterfaces",
    "ecs:DescribeSecurityGroups",
    "ecs:CreateSecurityGroup"
  ],
  "Resource": "*",
  "Effect": "Allow"
}

    VPC のアクセス権限

    {
  "Action": [
    "vpc:DescribeVSwitches",
    "vpc:DescribeVpcs",
    "vpc:CreateVSwitch"
  ],
  "Resource": "*",
  "Effect": "Allow"
},

    ARMS のアクセス権限

       {
            "Action": [
                "arms:OpenArmsService",
                "arms:OpenArmsServiceSecondVersion",
                "arms:CheckServiceStatus",
                "arms:OpenVCluster",
                "arms:GetPrometheusApiToken",
                "arms:ListDashboards"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

    SLB のアクセス権限

      {
            "Action": [
                "slb:CreateLoadBalancer",
                "slb:AddBackendServers",
                "slb:SetBackendServers",
                "slb:RemoveBackendServers",
                "slb:CreateLoadBalancerTCPListener",
                "slb:DescribeLoadBalancerTCPListenerAttribute",
                "slb:SetLoadBalancerTCPListenerAttribute",
                "slb:CreateLoadBalancerHTTPListener",
                "slb:DescribeLoadBalancerHTTPListenerAttribute",
                "slb:SetLoadBalancerHTTPListenerAttribute",
                "slb:CreateLoadBalancerHTTPSListener",
                "slb:DescribeLoadBalancerHTTPSListenerAttribute",
                "slb:SetLoadBalancerHTTPSListenerAttribute",
                "slb:StartLoadBalancerListener",
                "slb:StopLoadBalancerListener",
                "slb:DeleteLoadBalancerListener",
                "slb:DescribeLoadBalancers",
                "slb:DescribeLoadBalancerAttribute",
                "slb:DescribeHealthStatus",
                "slb:CreateLoadBalancerForCloudService",
                "slb:DeleteLoadBalancer",
                "slb:ModifyLoadBalancerInternetSpec",
                "slb:RemoveTags",
                "slb:AddTags",
                "slb:SetLoadBalancerUDPListenerAttribute",
                "slb:CreateLoadBalancerUDPListener",
                "slb:CreateVServerGroup",
                "slb:DeleteVServerGroup",
                "slb:SetVServerGroupAttribute",
                "slb:ModifyVServerGroupBackendServers",
                "slb:AddVServerGroupBackendServers",
                "slb:ModifyLoadBalancerInstanceSpec",
                "slb:ModifyLoadBalancerInternetSpec",
                "slb:RemoveVServerGroupBackendServers",
                "slb:SetLoadBalancerModificationProtection",
                "slb:SetLoadBalancerDeleteProtection",
                "slb:DescribeLoadBalancerUDPListenerAttribute  ",
                "slb:DescribeTags",
                "slb:DescribeVServerGroups",
                "slb:DescribeVServerGroupAttribute",
                "slb:DescribeLoadBalancerListeners"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

    ACK のアクセス権限

       {
            "Action": [
                "cs:DescribeClusterInnerServiceKubeconfig",
                "cs:RevokeClusterInnerServiceKubeconfig",
                "cs:GetUserConfig",
                "cs:DescribeClusterUserKubeconfig",
                "cs:GetClusterById",
                "cs:GetClustersByUid",
                "cs:GetClusters",
                "cs:ListClusters",
                "cs:DescribeClusterNodes"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

    EDAS アクセス権限

     {
            "Action": [
                "edas:ReadApplication",
                "edas:ReadCluster",
                "edas:ReadNamespace",
                "edas:ReadService",
                "edas:ListUserDefineRegion",
                "edas:GetSecureToken"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

    ASM アクセス権限

       {
            "Action": [
                "servicemesh:CreateServiceMesh",
                "servicemesh:DeleteServiceMesh",
                "servicemesh:DescribeServiceMeshDetail",
                "servicemesh:DescribeServiceMeshKubeconfig",
                "servicemesh:AddClusterIntoServiceMesh",
                "servicemesh:RemoveClusterFromServiceMesh",
                "servicemesh:InitializeASMRole",
                "servicemesh:InvokeApiServer"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

    AliyunServiceRolePolicyForMSEEngineService

    シナリオ

    Nacos エンジンを Security Guardrail などの他のクラウドプロダクトと統合する場合は、AliyunServiceRolePolicyForMSEEngineService ロールを使用できます。

    権限の説明

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "yundun-greenweb:MultiModalGuard",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "engine-service.mse.aliyuncs.com"
        }
      }
    }
  ]
}

    権限の削除

    重要

    MSE サービスリンクロールを削除すると、それに依存する機能を使用できなくなります。この操作はビジネスに影響を与える可能性があります。影響を評価し、注意して進めてください。

    1. Alibaba Cloud アカウントを使用して Resource Access Management (RAM) コンソールにログインします。左側のナビゲーションウィンドウで、[ID] > [ロール] をクリックします。

    2. [ロール] ページで、検索ボックスに AliyunServiceRoleForMSE などのロール名を入力してロールを検索します。

    3. 検索結果でロールを見つけ、[操作] 列の [ロールの削除] をクリックします。

    4. [ロールの削除] ダイアログボックスで、ロール名を入力し、[ロールの削除] をクリックします。

    FAQ

    RAM ユーザーが AliyunServiceRoleForMSE サービスリンクロールを自動的に作成できないのはなぜですか?

    AliyunServiceRoleForMSE ロールは、特定の権限を持つユーザーのみが自動的に作成または削除できます。RAM ユーザーが AliyunServiceRoleForMSE ロールを自動的に作成できない場合は、次のアクセスポリシーをユーザーにアタッチする必要があります。

    説明

    Alibaba Cloud アカウント ID をご自身の Alibaba Cloud アカウント ID に置き換えてください。

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:Alibaba Cloud アカウント ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "mse.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}