Lingjun 接続インスタンス (AliyunServiceRoleForEfloVcc) の利用シーンと削除方法 - Platform For AI

PAI-Lingjun AI Computing Service を有効化し、Lingjun 接続を作成すると、Lingjun 接続を利用して他の Alibaba Cloud サービスにアクセスできます。たとえば、仮想プライベートクラウド (VPC) へのアクセス、Express Connect 回線の作成、Elastic Network Interface (ENI) の作成などが可能です。AliyunServiceRoleForEfloVcc サービスリンクロールにより、Lingjun 接続はお客様に代わって VPC、物理接続、ENI、ルーティングリソースを管理できます。本トピックでは、このロールが持つ権限と削除方法について説明します。

サービスリンクロールは通常の RAM ロールとは異なります。システムが自動的に作成・管理するため、ポリシーを変更することはできません。詳細については、「サービスリンクロール」をご参照ください。

ロールの概要

ロール名： AliyunServiceRoleForEfloVcc

権限のまとめ：

サービス	付与される権限
ECS	ENI の作成、アタッチ、デタッチ、削除、および照会；セキュリティグループの作成、削除、および管理；インスタンス属性の変更
VPC	VPC および VSwitch の照会；物理接続、仮想ボーダールーター (VBR)、BGP グループ、BGP ピア、BGP ネットワーク、ルーターインターフェイス、およびルートエントリの管理
CEN	トランジットルーターのアタッチメント、ルートエントリ、ルートテーブル、およびルート伝播の管理；CEN サブインスタンスのアタッチおよびデタッチ
ROS	スタックおよびスタックリソースの作成、削除、プレビュー、および照会
RAM	このサービスリンクロールの削除（`vcc.eflo.aliyuncs.com` にスコープ指定）

完全なポリシー：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:AttachNetworkInterface",
        "ecs:DetachNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:ModifyInstanceAttribute"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "vpc:ConfirmPhysicalConnection",
        "vpc:CreateVirtualBorderRouter",
        "vpc:DeleteVirtualBorderRouter",
        "vpc:DescribeVirtualBorderRouters",
        "vpc:CreateBgpGroup",
        "vpc:DeleteBgpGroup",
        "vpc:DescribeBgpGroups",
        "vpc:CreateBgpPeer",
        "vpc:DeleteBgpPeer",
        "vpc:DescribeBgpPeers",
        "cen:AttachCenChildInstance",
        "cen:DetachCenChildInstance",
        "vpc:DescribeRouteEntryList",
        "vpc:AddBgpNetwork",
        "vpc:DeleteBgpNetwork",
        "vpc:DescribeBgpNetworks",
        "vpc:TerminatePhysicalConnection",
        "vpc:RecoverPhysicalConnection",
        "vpc:DeletePhysicalConnection",
        "vpc:OpenPhysicalConnectionService",
        "vpc:GetPhysicalConnectionServiceStatus",
        "vpc:DescribePhysicalConnections",
        "vpc:CreatePhysicalConnectionOccupancyOrder",
        "vpc:UpdateVirtualPhysicalConnection",
        "vpc:CreateRouterInterface",
        "vpc:DeleteRouterInterface",
        "vpc:DeactivateRouterInterface",
        "vpc:DescribeRouterInterfaces",
        "vpc:DescribeRouteTableList",
        "vpc:CreateRouteEntries",
        "vpc:DeleteRouteEntries",
        "vpc:CreateRouteEntry",
        "vpc:DeleteRouteEntry",
        "vpc:DescribeGrantRulesToCen",
        "vpc:GrantInstanceToCen",
        "vpc:RevokeInstanceFromCen",
        "vpc:CreatePhysicalConnectionNew",
        "vpc:ModifyVirtualBorderRouterAttribute",
        "vpc:AssociatePhysicalConnectionToVirtualBorderRouter",
        "vpc:UnassociatePhysicalConnectionFromVirtualBorderRouter",
        "bssapi:SetRenewal",
        "vpc:CancelPhysicalConnection"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "cen:CreateTransitRouterRouteEntry",
        "cen:ListTransitRouterRouteEntries",
        "cen:DeleteTransitRouterRouteEntry",
        "cen:ResolveAndRouteServiceInCen",
        "cen:DescribeRouteServicesInCen",
        "cen:DeleteRouteServiceInCen",
        "cen:CreateTransitRouterVbrAttachment",
        "cen:DeleteTransitRouterVbrAttachment",
        "cen:ListTransitRouterVbrAttachments",
        "cen:ListTransitRouterVpcAttachments",
        "cen:DisableTransitRouterRouteTablePropagation",
        "cen:EnableTransitRouterRouteTablePropagation",
        "cen:ListTransitRouterRouteTablePropagations",
        "cen:AssociateTransitRouterAttachmentWithRouteTable",
        "cen:DissociateTransitRouterAttachmentFromRouteTable",
        "cen:ListTransitRouterRouteTableAssociations",
        "cen:ListTransitRouterRouteTables",
        "cen:ListTransitRouters",
        "cen:ListTransitRouterAvailableResource",
        "cen:ResolveAndRouteServiceInCen",
        "cen:DescribeRouteServicesInCen",
        "cen:DeleteRouteServiceInCen",
        "cen:DescribeCenAttachedChildInstances",
        "cen:DescribeCenAttachedChildInstanceAttribute",
        "cen:DescribeCens"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ros:ListStacks",
        "ros:GetStack",
        "ros:ListStackEvents",
        "ros:ListStackResources",
        "ros:GetStackResource",
        "ros:CreateStack",
        "ros:DeleteStack",
        "ros:PreviewStack"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vcc.eflo.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForEfloVcc ロールの作成

Lingjun クラスターを初めて作成する際、「ネットワーク設定」ステップで [承認の確認] をクリックすると、システムが自動的に AliyunServiceRoleForEfloVcc ロールを作成します。

AliyunServiceRoleForEfloVcc ロールの削除

AliyunServiceRoleForEfloVcc を削除する前に、このロールを偽装しているすべての Lingjun 接続をリリースしてください。

Lingjun 接続は、有効期限切れになると自動的にリリースされます。
接続をリリースした後にロールを削除するには、「サービスリンクロール」の「サービスリンクロールの削除」セクションの手順に従ってください。