Elastic Algorithm Service (EAS) で自己管理リソースグループを使用する場合、EASはAliyunServiceRoleForPaiEasManageCustomerClustersサービスにリンクされたロールを引き受けて他のクラウドサービスにアクセスできます。 EAS自己管理リソースグループを使用する前に、Alibaba Cloudアカウントを使用してサービスリンクロールをEASに割り当てる必要があります。 このトピックでは、サービスにリンクされたロールによって提供される権限と、ロールを削除する方法について説明します。
背景
AliyunServiceRoleForPaiEasManageCustomerClustersサービスにリンクされたロールは、自己管理リソースグループを使用するときにEASが他のAlibaba Cloudサービスにアクセスすることを想定できるRAM (Resource Access Management) ロールです。 EASは、特定のシナリオで機能を実装する役割を使用します。 詳細については、「サービスにリンクされたロール」をご参照ください。
特定の機能を実装するには、EASはObject Storage Service (OSS) 、Simple Log Service、Elastic Compute Service (ECS) 、およびVirtual Private Cloud (VPC) リソースにアクセスする必要があります。 AliyunServiceRoleForPaiEasManageCustomerClustersサービスにリンクされたロールをEASに割り当てて、EASにクラウドサービスへのアクセスを許可できます。
AliyunServiceRoleForPaiEasManageCustomerClustersによって提供される権限
AliyunServiceRoleForPaiEasManageCustomerClustersサービスにリンクされたロールには、次のクラウドサービスにアクセスする権限があります。
PrivateLink
{ "Action": [ "privatelink:OpenPrivateLinkService" 、 "privatelink:CheckProductOpen" 、 "privatelink:ListVpcEndpointServices" 、 "privatelink:CreateVpcEndpoint" 、 "privatelink:ListVpcEndpoints" 、 "privatelink:UpdateVpcEndpointAttribute" 、 "privatelink:GetVpcEndpointAttribute" 、 "privatelink:ListVpcEndpointSecurityGroups" 、 "privatelink:AttachSecurityGroupToVpcEndpoint" 、 "privatelink:DetachSecurityGroupFromVpcEndpoint" 、 "privatelink:AddZoneToVpcEndpoint" 、 "privatelink:RemoveZoneFromVpcEndpoint" 、 "privatelink:ListVpcEndpointZones" 、 "privatelink:DeleteVpcEndpoint" ], "Resource": "*", "Effect": "Allow" }VPC
{ "Action": [ "vpc:DescribeVpcs", "vpc:DescribeVpcAttribute" 、 "vpc:DescribeVSwitches", "vpc:DescribeVSwitchAttributes" ], "Resource": "*", "Effect": "Allow" }ECS
{ "Action": [ "ecs:DescribeSecurityGroups", "ecs:CreateSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:AuthorizeSecurityGroup", "ecs:AuthorizeSecurityGroupEgress", "ecs:RevokeSecurityGroup", "ecs:RevokeSecurityGroupEgress" ], "Resource": "*", "Effect": "Allow" }Container Service for Kubernetes (ACK)
{ "Action": [ "cs:DescribeClusterDetail" 、 "cs:DescribeClusterUserKubeconfig" ], "Resource": "*", "Effect": "Allow" }Simple Log Service
{ "Action": [ "log:GetIndex" 、 "log:GetConfig" 、 "log:GetLogStore", "log:GetProject", "log:GetLogStoreLogs", "ログ: GetMachineGroup" 、 "log:CreateConfig" 、 "log:CreateIndex", "log:GetLogStore" "log:CreateMachineGroup" 、 "log:CreateProject", "log:DeleteConfig" 、 "log:DeleteIndex" 、 "log:DeleteLogStore" 、 "log:DeleteMachineGroup" 、 "log:DeleteProject" 、 "log:ApplyConfigToGroup" ], "Resource": [ "acs:log:*:*:project/*/logstore/eas-*" 、 "acs:log:*:*:project/eas-*" ], "Effect": "Allow" }Alibaba Cloud DNS PrivateZone
{ "Action": [ "pvtz:AddZone", "pvtz:BindZoneVpc", "pvtz:AddZoneRecord", "pvtz:DeleteZone" ], "Resource": "*", "Effect": "Allow" }
AliyunServiceRoleForPaiEasManageCustomerClustersサービスにリンクされたロールの削除
AliyunServiceRoleForPaiEasManageCustomerClustersサービスにリンクされたロールを削除すると、EASで展開したサービスが影響を受ける可能性があります。 サービスにリンクされたロールを削除する前に、その影響を理解していることを確認してください。 AliyunServiceRoleForPaiEasManageCustomerClustersサービスにリンクされたロールを削除した後、EASの自己管理リソースグループを使用してサービスをデプロイまたは更新できない場合や、自己管理リソースグループにデプロイされているサービスを使用できない場合があります。
AliyunServiceRoleForPaiEasManageCustomerClustersサービスにリンクされたロールを削除するには、次の手順を実行します。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ロールページで、検索ボックスに
AliyunServiceRoleForPaiEasManageCustomerClustersと入力します。AliyunServiceRoleForPaiEasManageCustomerClustersという名前のRAMロールが検索結果に表示されます。ロールページで、削除するRAMユーザーを見つけて、ロールの削除で、アクション列を作成します。
では、ロールの削除ダイアログボックスで、RAMロールの名前を入力し、ロールの削除.