信頼できる Alibaba Cloud サービスは、他の Alibaba Cloud サービスにアクセスするために RAM のロールを引き受けることができます。 信頼できる Alibaba Cloud サービスが引き受けることができる RAM のロールは、通常のサービスのロールとサービスにリンクされたロールの 2 つのタイプに分類されます。 このページでは、サービスにリンクされたロールについて説明します。

サービスにリンクされたロールとは

Alibaba Cloud サービスは、特定の機能を実装するために他のサービスにアクセスする必要がある場合があります。 この場合、Alibaba Cloud サービスに権限を付与する必要があります。 たとえば、Elastic Compute Service (ECS) とApsaraDB for RDS からリソースリストを取得し、ログを変更するには、Cloud Config に ECS と RDS へのアクセス権限を付与する必要があります。 Alibaba Cloud は、サービスにリンクされたロールを提供することで、このようなシナリオでの権限付与を簡素化します。

サービスにリンクされたロールは、リンクされたサービスのみが引き受けることができる RAM のロールです。 ほとんどの場合、サービスは、必要に応じて、サービスにリンクされたロールを自動的に作成または削除します。 サービスにリンクされたロールは、サービスが他のサービスにアクセスするための権限付与プロセスを簡素化し、不適切な設定を防止します。

サービスにリンクされたロールに関連付けられているポリシーは、リンクされたサービスによって事前に定義されています。 ポリシーを変更または削除することはできません。 また、サービスにリンクされたロールにポリシーをアタッチまたはデタッチすることもできません。

サービスにリンクされたロールがサービスに提供されていない場合 、通常のサービスロールを使用してサービスに権限を付与できます。

サービスにリンクされたロールを作成する

一部の Alibaba Cloud サービスでは、クラウドリソースの作成や機能の有効化などの操作を実行すると、サービスにリンクされたロールを自動的に作成します。 作成されたサービスにリンクされたロールは、RAM コンソールの [RAM ロール] ページで確認できます。 API または CLI を使用して ListRoles 操作を呼び出し、作成されたサービスにリンクされたロールのリストを取得することもできます。

サービスにリンクされたロールを手動で作成することもできます。 詳細については、「信頼できる Alibaba Cloud サービス用の RAM ロールの作成」をご参照ください。

  • サービスにリンクされたロールは、Alibaba Cloud アカウントでの RAM ロールの制限にカウントされます。 制限を超えた場合でも、サービスにリンクされたロールを作成できますが、他のタイプの RAM ロールを作成できなくなります。
  • Alibaba Cloud サービスが、サービスにリンクされたロールを作成する方法の詳細については、サービスに固有のドキュメントをご参照ください。

サービスにリンクされたロールを削除する

一部の Alibaba Cloud サービスでは、クラウドリソースの削除や機能の無効化などの操作を実行すると、サービスにリンクされたロールを自動的に削除します。 RAM コンソールでサービスにリンクされたロールを手動で削除することもできます。 サービスにリンクされたロールを削除する方法に関する詳細情報については、「RAM ロールの削除」をご参照ください。

サービスにリンクされたロールを削除しようとすると、RAM は最初に、ロールがリンクされたサービスによって引き受けられているかどうかを確認します。

  • サービスにリンクされたロールがアイドル状態の場合、削除されます。
  • サービスにリンクされたロールが使用中の場合、削除されません。 ただし、サービスにリンクされたロールを引き受けているサービスリソースを表示できます。 サービスリソースが不要になった場合は、リソースを見つけて削除し、サービスにリンクされたロールを再度削除してください。
サービスにリンクされたロールを削除するための条件の詳細については、リンクされたサービスに固有のドキュメントをご参照ください。

サービスにリンクされたロールを作成および削除するために必要な権限

サービスにリンクされたロールを作成または削除する前に、RAM ID に必要な権限を付与しなければなりません。 権限は、RAM ID が操作を実行するときに、サービスにリンクされたロールが自動的に作成されるシナリオでも必要です。

サービスにリンクされたロールを作成する権限は、リンクされたサービスの管理権限ポリシー (ECS の AliyunESSFullAccess など) に含まれています。 したがって、サービスの管理権限ポリシーを RAM ID にアタッチすると、RAM ID は、そのサービスに対して、サービスにリンクされたロールを作成できるようになります。

次のポリシーの例では、権限付与された RAM ID が Resource Management のサービスにリンクされたロールを作成および削除できます。

{
    "Action": [
        "ram:CreateServiceLinkedRole",
        "ram:DeleteServiceLinkedRole"
    ],
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "resourcemanager.aliyuncs.com"
        }
    }
}

サービスにリンクされたロールを引き受ける

サービスにリンクされたロールは、リンクされたサービスのみが引き受けることができ、RAM ユーザーや他の RAM のロールなどの他の ID が引き受けることはできません。

[ロールの詳細] ページの [信頼ポリシーの管理] タブの [サービス] 要素で、サービスにリンクされたロールを引き受けることができるサービスを確認できます。