NAS のサービスリンクロールの作成、確認、削除 - File Storage NAS

NAS は、特定の機能を有効にすると自動的にサービスリンクロールを作成します。これにより、NAS が ECS や VPC などの他の Alibaba Cloud サービスにアクセスできるようになり、権限を手動で設定する必要がなくなります。

仕組み

サービスリンクロールとは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールの一種です。NAS はこのロールを使用して、ご利用のクラウドサービスおよびリソースに代わってアクセスを行うため、権限を手動で設定する必要はありません。

通常、NAS は必要なタイミングで該当するロールを自動的に作成します。ただし、ロールの自動作成に失敗した場合や、そのロールに対する自動作成が NAS でサポートされていない場合は、手動でロールを作成する必要があります。

各サービスリンクロールには、RAM によって管理されるシステム権限ポリシーが紐付けられています。このポリシーは変更できません。ポリシーの内容を確認するには、RAM コンソールのロール詳細ページをご参照ください。

説明

詳細については、「サービスリンクロール」をご参照ください。

利用シーン

NAS は、ご利用の機能に応じて特定のサービスリンクロールを自動的に作成します。

ロール	トリガー	アクセス先サービス
AliyunServiceRoleForNasStandard	汎用型 NAS ファイルシステムに対してクラシックネットワーク内のマウントポイントを作成するとき。	ECS：認証のためにリソースリストをクエリします。
AliyunServiceRoleForNasExtreme	超高速型 NAS ファイルシステムのマウントポイントを作成するとき。	VPC および ECS
AliyunServiceRoleForNasEncryption	KMS 暗号化ファイルシステムを作成するとき。	KMS：キー情報を取得し、誤った削除を防ぐためにタグを追加します。
AliyunServiceRoleForNasLogDelivery	NAS ログ分析機能を有効にするとき。	Log Service：ログを保存するためのプロジェクトおよび Logstore を作成します。
AliyunServiceRoleForNasBackup	汎用型ファイルシステムに対してファイルバックアップ機能を有効にするとき。	Cloud Backup (HBR)：サービスを有効化し、バックアッププランを作成します。
AliyunServiceRoleForNasEcsHandler	NAS コンソールのワンクリックマウント機能を使用するとき。	クラウドアシスタント：ECS インスタンス上でコマンドを実行し、ファイルシステムのマウントまたはアンマウントを行い、マウントステータスをクエリします。

詳細については、「サービスリンクロール」をご参照ください。

権限

NAS のサービスリンクロールに付与される権限は以下のとおりです。

AliyunServiceRoleForNasStandard

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasExtreme

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasEncryption

{
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}

AliyunServiceRoleForNasLogDelivery

{
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

AliyunServiceRoleForNasBackup

{
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}

AliyunServiceRoleForNasEcsHandler

{
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}

RAM ユーザーに必要な権限

デフォルトでは、RAM ユーザーにはサービスリンクロールの作成または削除を行う権限がありません。これらの権限を付与するには、管理者に依頼して RAM ユーザーに AliyunNASFullAccess ポリシーをアタッチするか、カスタムポリシーの Action ステートメントに以下の権限を追加してください。

サービスリンクロールの作成：ram:CreateServiceLinkedRole
サービスリンクロールの削除：ram:DeleteServiceLinkedRole

権限の付与方法の詳細については、「サービスリンクロールの管理に必要な権限」をご参照ください。

サービスリンクロールの確認

RAM コンソールのロールページで、AliyunServiceRoleForNasStandard などのサービスリンクロールを検索できます。ロール詳細ページには、以下の情報が表示されます。

基本情報

基本情報セクションでは、ロール名、作成時刻、ARN、説明を確認できます。

ポリシー

権限タブで、ポリシー名をクリックすると、そのポリシーおよびロールがアクセス可能なクラウドリソースを確認できます。

信頼ポリシー

信頼ポリシータブで、信頼ポリシーを確認できます。信頼ポリシーは、どの信頼できるエンティティがそのロールを引き受けることができるかを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、ポリシー内の Service フィールドで識別できます。

サービスリンクロールの確認方法の詳細については、「RAM ロールの情報の確認」をご参照ください。

サービスリンクロールの削除

サービスリンクロールが必要な機能を今後使用しない場合は、そのロールを削除することを推奨します。たとえば、KMS 暗号化ファイルシステムを今後作成しない場合は、AliyunServiceRoleForNasEncryption ロールを削除できます。ロールを削除する前に、関連付けられたファイルシステムインスタンスをすべて削除する必要があります。詳細については、「ファイルシステムの削除」および「サービスリンクロールの削除」をご参照ください。

重要

サービスリンクロールを削除すると、そのロールに依存する機能は動作しなくなります。慎重に操作してください。

よくある質問

RAM ユーザーが NAS のサービスリンクロールを自動作成できないのはなぜですか？

デフォルトでは、RAM ユーザーにはサービスリンクロールを作成する権限がありません。この権限を付与するには、以下のポリシーを RAM ユーザーにアタッチしてください。ポリシー内の YOUR_ALIBABA_CLOUD_ACCOUNT_ID は、ご利用の Alibaba Cloud アカウント ID に置き換えてください。詳細な手順については、「カスタムポリシーの作成」をご参照ください。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:YOUR_ALIBABA_CLOUD_ACCOUNT_ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}