SASE によるクラウドリソースへのアクセス承認 - Secure Access Service Edge

Secure Access Service Edge (SASE) を初めて使用する場合、SASE が他の Alibaba Cloud サービス内のクラウドリソースにアクセスできるように、サービスリンクロールを作成する必要があります。これは一度限りの設定であり、Alibaba Cloud は SASE コンソールに初めてログインしたときに、このロールを自動的に作成します。

前提条件

開始する前に、以下を確認してください。

SASE がアクティブ化されていること
ご利用の Alibaba Cloud アカウントまたは RAM ユーザーに、サービスリンクロールを作成および削除する権限があること

RAM ユーザーを使用している場合、そのユーザーには ram:CreateServiceLinkedRole 権限が csas.aliyuncs.com にスコープされている必要があります。続行する前に、以下のポリシーを RAM ユーザーにアタッチしてください。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID of your Alibaba Cloud account:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "csas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

ID of your Alibaba Cloud account を実際の Alibaba Cloud アカウント ID に置き換えてください。ポリシーのアタッチ方法については、「RAM ロールへの権限付与」をご参照ください。

仕組み

SASE は、AliyunServiceRoleForCsas という名前のサービスリンクロールを使用して、ユーザーに代わって他の Alibaba Cloud サービスと連携します。SASE コンソールに初めてログインすると、このロールの作成を求めるプロンプトが表示されます。ロールが作成されると、SASE は Identity as a Service (IDaaS) や Smart Access Gateway (SAG) などのサービスにアクセスできるようになります。

このロールは、AliyunServiceRolePolicyForCsas という名前のシステムポリシーによってサポートされています。このポリシーの名前を変更したり、変更したりすることはできません。

サービスリンクロールに関する背景情報については、「サービスリンクロール」をご参照ください。

サービスリンクロールの作成

SASE コンソールにログインします。
[Welcome to Secure Access Service Edge (SASE)] ダイアログボックスで、[Create] をクリックします。

Alibaba Cloud は、AliyunServiceRoleForCsas サービスリンクロールを作成します。確認するには、RAM コンソールの [Roles] ページに移動し、AliyunServiceRoleForCsas を検索します。

サービスリンクロールの権限

AliyunServiceRolePolicyForCsas ポリシーは、SASE に以下の権限を付与します。

サービス	アクション	範囲
ECS	セキュリティグループとネットワークインターフェースの記述、作成、削除、変更	すべてのリソース
RDS	セキュリティグループの構成と IP ホワイトリストの記述、変更	すべてのリソース
ApsaraDB for Redis (Tair)	セキュリティ IP とセキュリティグループの構成の記述、変更	すべてのリソース
ApsaraDB for MongoDB	セキュリティ IP とセキュリティグループの構成の記述、変更	すべてのリソース
PolarDB	DB クラスターの記述、アクセスホワイトリストの管理	すべてのリソース
VPC	VPC、vSwitch、VPN Gateway、カスタマーゲートウェイ、VPN 接続、仮想ボーダールーター (VBR)、物理接続、ルートテーブルの記述、管理	すべてのリソース
Cloud Enterprise Network (CEN)	CEN の記述、サブインスタンスのアタッチと付与の管理	すべてのリソース
Smart Access Gateway (SAG)	SAG トラフィックサービス、Cloud Connect Network (CCN)、SAG ソフトウェアインスタンスの管理	すべてのリソース
Simple Log Service (SLS)	プロジェクト、Logstore、インデックス、ダッシュボード、クイック検索の管理	プレフィックスが付いたプロジェクト：`csas-project-`
PrivateZone	プライベートゾーンとゾーンレコードの記述	すべてのリソース
RAM	`AliyunServiceRoleForCsas` サービスリンクロールの削除	スコープが限定される先: `csas.aliyuncs.com`

<details> <summary>完全なポリシー JSON を表示</summary>

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:DescribeInstances",
        "ecs:CreateSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeSecurityGroupReferences",
        "ecs:ModifySecurityGroupPolicy",
        "ecs:ModifySecurityGroupRule",
        "ecs:ModifySecurityGroupEgressRule",
        "ecs:CreateNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:CreateNetworkInterfacePermission",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:AttachNetworkInterface",
        "ecs:DetachNetworkInterface",
        "ecs:RevokeSecurityGroup"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "rds:DescribeDBInstances",
        "rds:DescribeSecurityGroupConfiguration",
        "rds:ModifySecurityGroupConfiguration",
        "rds:DescribeDBInstanceIPArrayList",
        "rds:ModifySecurityIps"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kvstore:DescribeInstances",
        "kvstore:DescribeGlobalDistributeCache",
        "kvstore:DescribeSecurityIps",
        "kvstore:ModifySecurityIps",
        "kvstore:DescribeSecurityGroupConfiguration",
        "kvstore:ModifySecurityGroupConfiguration"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "dds:DescribeDBInstances",
        "dds:DescribeSecurityIps",
        "dds:ModifySecurityIps",
        "dds:DescribeSecurityGroupConfiguration",
        "dds:ModifySecurityGroupConfiguration"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "polardb:DescribeDBClusters",
        "polardb:DescribeDBClusterAccessWhitelist",
        "polardb:ModifyDBClusterAccessWhitelist"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "vpc:CreateVpc",
        "vpc:DeleteVpc",
        "vpc:CreateVSwitch",
        "vpc:DeleteVSwitch",
        "vpc:DescribeZones",
        "vpc:DescribePhysicalConnections",
        "vpc:DescribeVirtualBorderRouters",
        "vpc:DescribeVirtualBorderRoutersForPhysicalConnection",
        "vpc:DescribeVpnGateways",
        "vpc:DescribeVpnGateway",
        "vpc:DescribeCustomerGateways",
        "vpc:DescribeVpnConnections",
        "vpc:DescribeVpcAttribute",
        "vpc:DescribeRouteTables",
        "vpc:DescribeRouteTableList",
        "vpc:DescribeRouteEntryList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "cen:DescribeCens",
        "cen:DescribeCenAttachedChildInstances",
        "cen:DescribeCenAttachedChildInstanceAttribute",
        "cen:AttachCenChildInstance",
        "cen:DetachCenChildInstance",
        "cen:GrantInstanceToCen",
        "cen:RevokeInstanceFromCen"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "smartag:CreateSmartAGTrafficService",
        "smartag:UpdateSmartAGTrafficService",
        "smartag:DeleteSmartAGTrafficSerivce",
        "smartag:ListSmartAGTrafficService",
        "smartag:DescribeSmartAccessGateways",
        "smartag:DescribeCloudConnectNetworks",
        "smartag:CreateCloudConnectNetwork",
        "smartag:ModifyCloudConnectNetwork",
        "smartag:DeleteCloudConnectNetwork",
        "smartag:CreateSmartAccessGatewaySoftware",
        "smartag:UpgradeSmartAccessGatewaySoftware",
        "smartag:DowngradeSmartAccessGatewaySoftware",
        "smartag:BindSmartAccessGateway",
        "smartag:UnbindSmartAccessGateway"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:PostLogStoreLogs",
        "log:GetProject",
        "log:ListProject",
        "log:GetLogStore",
        "log:ListLogStores",
        "log:CreateLogStore",
        "log:CreateProject",
        "log:GetIndex",
        "log:CreateIndex",
        "log:UpdateIndex",
        "log:CreateDashboard",
        "log:ClearLogStoreStorage",
        "log:UpdateLogStore",
        "log:UpdateDashboard",
        "log:CreateSavedSearch",
        "log:UpdateSavedSearch",
        "log:DeleteLogStore",
        "log:DeleteSavedSearch",
        "log:GetSavedSearch",
        "log:ListSavedSearch",
        "log:DeleteDashboard",
        "log:GetDashboard",
        "log:ListDashboard"
      ],
      "Resource": "acs:log:*:*:project/csas-project-*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "pvtz:DescribeZones",
        "pvtz:DescribeZoneInfo",
        "pvtz:DescribeZoneRecords"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "csas.aliyuncs.com"
        }
      }
    }
  ]
}

</details>

サービスリンクロールの削除

SASE を使用する必要がなくなった場合は、AliyunServiceRoleForCsas サービスリンクロールを削除できます。ロールを削除する前に、SASE をリリースする必要があります。SASE をリリースした後、以下の手順に従って RAM コンソールでサービスリンクロールを削除してください。

RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[Identities] > [Roles] を選択します。
AliyunServiceRoleForCsas を検索し、[アクション] 列の [Delete Role] をクリックします。
[Delete Role] ダイアログボックスで、ロール名を入力し、[Delete Role] をクリックします。