自己管理型リソースグループを使用する場合、EAS はサービスリンクロール AliyunServiceRoleForPaiEasManageCustomerClusters を使用して、ユーザーに代わって他のクラウドサービスにアクセスします。自己管理型リソースグループを初めて使用する前に、このロールを Alibaba Cloud アカウントに付与する必要があります。このトピックでは、AliyunServiceRoleForPaiEasManageCustomerClusters ロールの権限と、その削除方法について説明します。
背景情報
EAS のサービスリンクロールである AliyunServiceRoleForPaiEasManageCustomerClusters は、自己管理型リソースグループを使用する際に、EAS が他のクラウドサービスにアクセスするために使用する Resource Access Management (RAM) ロールです。サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。
特定の機能で必要になった場合、EAS は AliyunServiceRoleForPaiEasManageCustomerClusters ロールを偽装して、PrivateLink、VPC、ECS、ACK、Simple Log Service、または Alibaba Cloud DNS PrivateZone のリソースにアクセスします。
AliyunServiceRoleForPaiEasManageCustomerClusters の権限
AliyunServiceRoleForPaiEasManageCustomerClusters ロールは、次のクラウドサービスにアクセスできます。
-
PrivateLink
{ "Action": [ "privatelink:OpenPrivateLinkService", "privatelink:CheckProductOpen", "privatelink:ListVpcEndpointServices", "privatelink:CreateVpcEndpoint", "privatelink:ListVpcEndpoints", "privatelink:UpdateVpcEndpointAttribute", "privatelink:GetVpcEndpointAttribute", "privatelink:ListVpcEndpointSecurityGroups", "privatelink:AttachSecurityGroupToVpcEndpoint", "privatelink:DetachSecurityGroupFromVpcEndpoint", "privatelink:AddZoneToVpcEndpoint", "privatelink:RemoveZoneFromVpcEndpoint", "privatelink:ListVpcEndpointZones", "privatelink:DeleteVpcEndpoint" ], "Resource": "*", "Effect": "Allow" } -
VPC
{ "Action": [ "vpc:DescribeVpcs", "vpc:DescribeVpcAttribute", "vpc:DescribeVSwitches", "vpc:DescribeVSwitchAttributes" ], "Resource": "*", "Effect": "Allow" } -
ECS
{ "Action": [ "ecs:DescribeSecurityGroups", "ecs:CreateSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:AuthorizeSecurityGroup", "ecs:AuthorizeSecurityGroupEgress", "ecs:RevokeSecurityGroup", "ecs:RevokeSecurityGroupEgress" ], "Resource": "*", "Effect": "Allow" } -
ACK
{ "Action": [ "cs:DescribeClusterDetail", "cs:DescribeClusterUserKubeconfig" ], "Resource": "*", "Effect": "Allow" } -
Simple Log Service
{ "Action": [ "log:GetIndex", "log:GetConfig", "log:GetLogStore", "log:GetProject", "log:GetLogStoreLogs", "log:GetMachineGroup", "log:CreateConfig", "log:CreateIndex", "log:CreateLogStore", "log:CreateMachineGroup", "log:CreateProject", "log:DeleteConfig", "log:DeleteIndex", "log:DeleteLogStore", "log:DeleteMachineGroup", "log:DeleteProject", "log:ApplyConfigToGroup" ], "Resource": [ "acs:log:*:*:project/*/logstore/eas-*", "acs:log:*:*:project/eas-*" ], "Effect": "Allow" } -
Alibaba Cloud DNS PrivateZone
{ "Action": [ "pvtz:AddZone", "pvtz:BindZoneVpc", "pvtz:AddZoneRecord", "pvtz:DeleteZone" ], "Resource": "*", "Effect": "Allow" }
AliyunServiceRoleForPaiEasManageCustomerClusters の削除
EAS サービスをデプロイ済みで、セキュリティなどの理由で AliyunServiceRoleForPaiEasManageCustomerClusters サービスリンクロールを削除したい場合は、潜在的な影響を理解しておく必要があります。AliyunServiceRoleForPaiEasManageCustomerClusters ロールを削除すると、自己管理型リソースグループを使用してサービスをデプロイまたは更新できなくなります。自己管理型リソースグループにデプロイされている既存のサービスも利用できなくなります。
AliyunServiceRoleForPaiEasManageCustomerClusters ロールを削除するには、次の手順を実行します。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
-
[ロール] ページで、検索ボックスに
AliyunServiceRoleForPaiEasManageCustomerClustersと入力してロールを検索します。 -
ロール ページで、削除する RAM ロールを見つけ、操作 列の ロールの削除 をクリックします。
-
ロールの削除 ダイアログボックスで、RAM ロール名を入力し、ロールの削除 をクリックします。