このトピックでは、AliyunServiceRoleForPts という名前のパフォーマンス テスト サービス (PTS) のサービスリンクロールと、ロールの削除方法について説明します。
背景情報
場合によっては、PTS は機能を実現するために他のクラウド サービスへのアクセス許可を取得するために、AliyunServiceRoleForPts という名前のサービスリンクロールを自動的に作成します。詳細については、「サービスリンクロール」をご参照ください。
シナリオ
PTS が Application Real-Time Monitoring Service (ARMS)、ApsaraMQ for Kafka、Microservices Engine (MSE)、または Enterprise Distributed Application Service (EDAS) などのクラウド サービスのリソースにアクセスする場合、PTS はシステムによって自動的に作成される AliyunServiceRoleForPts ロールを使用して、リソースへのアクセス許可を取得できます。 ARMS の詳細については、「ARMS とは」をご参照ください。ApsaraMQ for Kafka の詳細については、「ApsaraMQ for Kafka とは」をご参照ください。 MSE の詳細については、「MSE とは」をご参照ください。 EDAS の詳細については、「EDAS とは」をご参照ください。
権限
AliyunServiceRoleForPts ロールには、次のクラウド サービスに対するアクセス許可が付与されます。
ARMS
{
"Action": [
"arms:GetPrometheusApiToken",
"arms:OpenVCluster",
"arms:OpenArmsService",
"arms:CheckServiceStatus",
"arms:ListDashboards",
"arms:GetExploreUrl"
],
"Resource": "*",
"Effect": "Allow"
}
ApsaraMQ for Kafka
{
"Action": [
"alikafka:GetInstanceList",
"alikafka:GetTopicList"
],
"Resource": "*",
"Effect": "Allow"
}
Tair (Redis OSS-compatible)
{
"Action": [
"kvsrote:DescribeInstanceAttribute",
"kvstore:DescribeInstances"
],
"Resource": "*",
"Effect": "Allow"
}
PolarDB
{
"Action": [
"polardb:DescribeDBClusters",
"polardb:DescribeDatabases",
"polardb:DescribeDBClusterEndpoints",
"polardb:DescribeAccounts"
],
"Resource": "*",
"Effect": "Allow"
}
MSE
{
"Action": [
"mse:GetServiceListPage",
"mse:GetServiceProvidersPage",
"mse:GetServiceDetail",
"mse:ListGatewayRoute"
],
"Resource": "*",
"Effect": "Allow"
}
EDAS
{
"Action": [
"edas:GetServiceListPage",
"edas:GetServiceProvidersPage",
"edas:GetServiceMethodPage"
],
"Resource": "*",
"Effect": "Allow"
}
Simple Log Service
{
"Action": [
"log:ListLogStores",
"log:GetLogs",
"log:GetLogStoreLogs"
],
"Resource": "*",
"Effect": "Allow"
}
CloudMonitor
{
"Action": [
"cms:NodeList",
"cms:QueryMetricList",
"cms:NodeStatusList",
"cms:ListNodeStatus",
"cms:GetNodeStatus",
"cms:ListNode",
"cms:ListNodeProcesses",
"cms:CreateAgentInstallTask",
"cms:GetProfile",
],
"Resource": "*",
"Effect": "Allow"
}
Anti-DDoS service
{
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeInstances",
"ecs:DescribeInstanceMonitorData",
"ecs:DescribeInstanceAttribute",
"ecs:DescribeInstanceTypes",
"ecs:DescribeInstanceDisks",
"ecs:AuthorizeSecurityGroup",
"ecs:RevokeSecurityGroup",
"ecs:DescribeRegions",
"ecs:DescribeSecurityGroups",
"ecs:CreateNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:CreateNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:DeleteNetworkInterfacePermission"
],
"Resource": "*",
"Effect": "Allow"
}
エラスティックコンピュートサービス (ECS)
{
"Action": [
"yundun-ddoscoo:DescribeInstances",
"yundun-ddoscoo:DescribeInstanceDetails",
"yundun-ddoscoo:DescribeInstanceList",
"yundun-ddoscoo:DescribeInstanceSpecs",
"yundun-ddoscoo:DescribeDomains",
"yundun-ddoscoo:DescribeLayer7InstanceRelations"
],
"Resource": "*",
"Effect": "Allow"
}
エラスティック IP アドレス (EIP)
{
"Action": [
"eip:DescribeEipAddresses",
"eip:DescribeEipMonitorData"
],
"Resource": "*",
"Effect": "Allow"
}
ApsaraDB RDS for MySQL
{
"Action": [
"rds:DescribeDatabases",
"rds:DescribeDBInstanceDetail",
"rds:DescribeDBInstances",
"rds:DescribeDBInstanceAttribute",
"rds:DescribeSlowLogs",
"rds:DescribeSlowLogRecords",
"rds:DescribeErrorLogs",
"rds:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow"
}
サーバーロードバランサー (SLB)
{
"Action": [
"slb:DescribeLoadBalancers",
"slb:DescribeLoadBalancerAttribute",
"slb:DescribeHealthStatus",
"slb:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow"
}
Web アプリケーションファイアウォール (WAF)
{
"Action": [
"yundun-waf:DescribePayInfo",
"yundun-waf:DescribeDomainNames",
"yundun-waf:DescribeDomainConfig"
],
"Resource": "*",
"Effect": "Allow"
}
仮想プライベートクラウド (VPC)
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"vpc:DescribeVSwitchAttributes"
],
"Resource": "*",
"Effect": "Allow"
}
Alibaba Cloud Container Service for Kubernetes (ACK)
{
"Action": [
"cs:ListClusters",
"cs:GetClusterById",
"cs:DescribeClusterInnerServiceKubeconfig",
"cs:RevokeClusterInnerServiceKubeconfig"
],
"Resource": "*",
"Effect": "Allow"
}
Data Management (DMS)
{
"Action": [
"dms:SearchDatabase",
"dms:ListTables",
"dms:GetMetaTableDetailInfo",
"dms:CreateStructSyncOrder",
"dms:GetOrderBaseInfo"
],
"Resource": "*",
"Effect": "Allow"
}
Transactions and Bills Management (BSS)
{
"Action": [
"bss:CreateOrder"
],
"Resource": "*",
"Effect": "Allow"
}
削除手順
PTS を使用していて、セキュリティ上の理由から AliyunServiceRoleForPts ロールを削除する場合は、ロールの削除による影響を明確にする必要があります。AliyunServiceRoleForPts ロールが削除されると、サービス テストとサービス ストレステスト機能は使用できなくなります。
AliyunServiceRoleForPts ロールを削除するには、次の手順を実行します。
Alibaba Cloud アカウントを使用して、RAM コンソール にログオンします。左側のナビゲーション ペインで、 を選択します。
[ロール] ページで、AliyunServiceRoleForPts[ロールの作成] の右側の検索ボックスに と入力します。 AliyunServiceRoleForPts という名前の PTS のサービスリンクロールが表示されます。
AliyunServiceRoleForPts ロールに対応する [アクション] 列で、[ロールの削除] をクリックします。
[ロールの削除] メッセージで、[ロールの削除] をクリックします。
FAQ
RAM ユーザーが AliyunServiceRoleForPts ロールを自動的に作成できないのはなぜですか?
AliyunServiceRoleForPts ロールを自動的に作成または削除するには、特定の権限が必要です。そのため、RAM ユーザーが AliyunServiceRoleForPts ロールを自動的に作成できない場合は、次の権限ポリシーを RAM ユーザーにアタッチする必要があります。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole" // サービスリンクロールを作成する
],
"Resource": "acs:ram:*:<Alibaba Cloud account ID>:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"pts.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}
説明 Alibaba Cloud account ID を Alibaba Cloud アカウント ID に置き換えます。