サービスリンクロール - Managed Service for OpenTelemetry - Alibaba Cloud ドキュメントセンター

このトピックでは、Managed Service for OpenTelemetry のサービスリンクロールである AliyunServiceRoleForXtrace と、このロールを削除する方法について説明します。

背景情報

AliyunServiceRoleForXtrace サービスリンクロールは、Managed Service for OpenTelemetry が特定のシナリオで Managed Service for OpenTelemetry 機能を実装するために他の Alibaba Cloud サービスにアクセスするために引き受ける Resource Access Management (RAM) ロールです。詳細については、サービスリンクロールを参照してください。

シナリオ

Managed Service for OpenTelemetry のモニタリング機能が Container Service for Kubernetes (ACK)、Log Service、Elastic Compute Service (ECS)、および Virtual Private Cloud (VPC) のリソースにアクセスする必要がある場合、Managed Service for OpenTelemetry は、アクセス許可を取得するために自動的に作成される AliyunServiceRoleForXtrace ロールを引き受けることができます。

パーミッション

ACK リソースにアクセスするためのパーミッション

{
            "Action": [
                "cs:ScaleCluster",
                "cs:GetClusterById",
                "cs:GetClusters",
                "cs:GetUserConfig",
                "cs:CheckKritisInstall",
                "cs:GetKritisAttestationAuthority",
                "cs:GetKritisGenericAttestationPolicy",
                "cs:AttachInstances",
                "cs:InstallKritis",
                "cs:InstallKritisAttestationAuthority",
                "cs:InstallKritisGenericAttestationPolicy",
                "cs:UpdateClusterTags",
                "cs:UninstallKritis",
                "cs:DeleteKritisAttestationAuthority",
                "cs:DeleteKritisGenericAttestationPolicy",
                "cs:UpdateKritisAttestationAuthority",
                "cs:UpdateKritisGenericAttestationPolicy",
                "cs:UpgradeCluster",
                "cs:GetClusterLogs"
            ],
            "Resource": [
              "acs:cs:*:*:cluster/*"
            ],
            "Effect": "Allow"
        }

Log Service リソースにアクセスするためのパーミッション

{
       "Action": [
        "log:CreateProject",
        "log:GetProject",
        "log:GetLogStoreLogs",
        "log:GetHistograms",
        "log:GetLogStoreHistogram",
        "log:GetLogStore",
        "log:ListLogStores",
        "log:EnableService",
        "log:DescribeService",
        "log:CreateLogStore",
        "log:DeleteLogStore",
        "log:UpdateLogStore",
        "log:GetCursorOrData",
        "log:GetCursor",
        "log:PullLogs",
        "log:ListShards",
        "log:PostLogStoreLogs",
        "log:CreateConfig",
        "log:UpdateConfig",
        "log:DeleteConfig",
        "log:GetConfig",
        "log:ListConfig",
        "log:CreateMachineGroup",
        "log:UpdateMachineGroup",
        "log:DeleteMachineGroup",
        "log:GetMachineGroup",
        "log:ListMachineGroup",
        "log:ListMachines",
        "log:ApplyConfigToGroup",
        "log:RemoveConfigFromGroup",
        "log:GetAppliedMachineGroups",
        "log:GetAppliedConfigs",
        "log:GetShipperStatus",
        "log:RetryShipperTask",
        "log:CreateConsumerGroup",
        "log:UpdateConsumerGroup",
        "log:DeleteConsumerGroup",
        "log:ListConsumerGroup",
        "log:UpdateCheckPoint",
        "log:HeartBeat",
        "log:GetCheckPoint",
        "log:CreateIndex",
        "log:DeleteIndex",
        "log:GetIndex",
        "log:UpdateIndex",
        "log:CreateSavedSearch",
        "log:UpdateSavedSearch",
        "log:GetSavedSearch",
        "log:DeleteSavedSearch",
        "log:ListSavedSearch",
        "log:CreateDashboard",
        "log:UpdateDashboard",
        "log:GetDashboard",
        "log:DeleteDashboard",
        "log:ListDashboard",
        "log:CreateJob",
        "log:UpdateJob"
       }
]

ECS リソースにアクセスするためのパーミッション

{
       "Action": [
        "ecs:DescribeInstanceAutoRenewAttribute",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceStatus",
        "ecs:DescribeInstanceVncUrl",
        "ecs:DescribeSpotPriceHistory",
        "ecs:DescribeUserdata",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeDisks",
        "ecs:DescribeSnapshots",
        "ecs:DescribeAutoSnapshotPolicy",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeImages",
        "ecs:DescribeImageSharePermission",
        "ecs:DescribeClassicLinkInstances",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:DescribeSecurityGroupReferences",
        "ecs:RevokeSecurityGroup",
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeTags",
        "ecs:DescribeRegions",
        "ecs:DescribeZones",
        "ecs:DescribeInstanceMonitorData",
        "ecs:DescribeEipMonitorData",
        "ecs:DescribeDiskMonitorData",
        "ecs:DescribeInstanceTypes",
        "ecs:DescribeInstanceTypeFamilies",
        "ecs:DescribeTasks",
        "ecs:DescribeTaskAttribute",
        "ecs:DescribeInstanceAttribute",
        "ecs:InvokeCommand",
        "ecs:CreateCommand",
        "ecs:StopInvocation",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:DescribeInvocations",
        "ecs:DescribeInvocationResults",
        "ecs:ModifyCommand",
        "ecs:InstallCloudAssistant"
         ],
      "Resource": "*",
      "Effect": "Allow"
    }

VPC リソースにアクセスするためのパーミッション

{
       "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "vpc:DescribeEipAddresses",
        "vpc:DescribeRouterInterfaces",
        "vpc:DescribeGlobalAccelerationInstances",
        "vpc:DescribeVpnGateways",
        "vpc:DescribeNatGateways"
       ],
       "Resource": "*",
       "Effect": "Allow"
}

Server Load Balancer (SLB) リソースへのアクセスと構成のためのパーミッション

{
       "Action": [
        "slb:DescribeLoadBalancers",
        "slb:DescribeLoadBalancerAttribute",
        "slb:SetLoadbalancerListenerAttributeEx",
        "slb:DescribeLoadbalancerListenersEx",
        "slb:DescribeLoadbalancerListenersEx",
        "slb:SetAccessLogsDownloadAttribute",
        "slb:DeleteAccessLogsDownloadAttribute",
        "slb:DescribeAccessLogsDownloadAttribute"
       ],
       "Resource": "*",
       "Effect": "Allow"
}

AliyunServiceRoleForXtrace ロールの削除

Managed Service for OpenTelemetry のモニタリング機能を有効にした後、セキュリティを確保するために AliyunServiceRoleForXtrace ロールを削除できます。ロールを削除すると、現在のアカウントのデータは保存および表示できなくなります。サービスリンクロールを削除する際は注意してください。

AliyunServiceRoleForXtrace ロールを削除するには、次の手順を実行します。

説明

現在のアカウントにアプリケーションデータが存在する場合は、AliyunServiceRoleForXtrace ロールを削除する前に、すべてのアプリケーションを削除する必要があります。

RAM コンソールにログオンします。左側のナビゲーションペインで、ID > ロール を選択します。
ロール ページで、検索ボックスに AliyunServiceRoleForXtrace と入力します。AliyunServiceRoleForXtrace という名前の RAM ロールが検索結果に返されます。
アクション 列の ロールの削除 をクリックします。
ロールの削除 ダイアログボックスで、削除するロール名を入力し、ロールの削除 をクリックします。
- 1 つ以上の Managed Service for OpenTelemetry アプリケーションが現在のアカウントに存在する場合は、AliyunServiceRoleForXtrace ロールを削除する前に、アプリケーションを削除する必要があります。そうでない場合、エラーメッセージが表示されます。
- 現在のアカウントのすべてのアプリケーションが削除されると、AliyunServiceRoleForXtrace ロールを削除できます。

FAQ

システムが AliyunServiceRoleForXtrace サービスリンクロールを自動的に作成して RAM ユーザーに割り当てることができないのはなぜですか？

システムが AliyunServiceRoleForXtrace ロールを自動的に作成または削除できるようにするには、指定されたパーミッションを取得する必要があります。システムが AliyunServiceRoleForXtrace ロールを自動的に作成して RAM ユーザーに割り当てない場合は、次のポリシーを RAM ユーザーにアタッチします。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole" // サービスリンクロールを作成
            ],
            "Resource": "acs:ram:*:ID of your Alibaba Cloud account:role/*", // Alibaba CloudアカウントID
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "xtrace.aliyuncs.com" // Xtrace サービス名
                    ]
                }
            }
        }
    ],
    "Version": "1"
}