このトピックでは、ApsaraDB for SelectDB のサービスリンクロール AliyunServiceRoleForSelectDB のシナリオについて説明します。また、サービスリンクロールの作成方法と削除方法についても説明します。
背景情報
ApsaraDB for SelectDB のサービスリンクロールは、ApsaraDB for SelectDB の特定の機能を実装するために他の Alibaba Cloud サービスにアクセスするために使用される Resource Access Management (RAM) ロールです。詳細については、「サービスリンクロール」をご参照ください。
シナリオ
サービスリンクロール AliyunServiceRoleForSelectDB は、以下のシナリオに適用されますが、これらに限定されません。
Elastic Compute Service (ECS) へのアクセス: ECS にアクセスして、ECS によって管理される必要なコンピューティングリソースを取得してから、ApsaraDB for SelectDB インスタンスを作成する必要があります。
Virtual Private Cloud (VPC) へのアクセス: VPC にアクセスして VPC によって管理される必要なネットワーク環境を取得してから、ApsaraDB for SelectDB インスタンスをデプロイおよび実行できます。
サーバーロードバランサー (SLB) へのアクセス: SLB にアクセスして、ApsaraDB for SelectDB インスタンスの負荷分散サービスを使用する必要があります。
Application Real-Time Monitoring Service (ARMS) へのアクセス: ARMS にアクセスして、ApsaraDB for SelectDB インスタンスを監視し、アラートを設定する必要があります。
ロールの説明
ロール名: AliyunServiceRoleForSelectDB
ロールにアタッチされたポリシー: AliyunServiceRolePolicyForSelectDB
権限:
{ "Statement": [ { "Action": [ "log:GetProject", "log:ListProject", "log:GetCursor", "log:GetCursorTime", "log:GetLogs", "log:GetHistograms", "log:GetContextLogs", "log:PullLogs", "log:GetLogStoreLogs", "log:GetLogStoreHistogram", "log:GetLogStore", "log:ListLogStores", "log:GetCursorOrData", "log:ListShards", "log:GetConfig", "log:ListConfig", "log:GetShipperStatus", "log:GetCheckPoint", "log:HeartBeat", "log:UpdateCheckPoint", "log:PostLogStoreLogs", "log:CreateConsumerGroup", "log:UpdateConsumerGroup", "log:DeleteConsumerGroup", "log:ListConsumerGroup", "log:ConsumerGroupUpdateCheckPoint", "log:ConsumerGroupHeartBeat", "log:GetConsumerGroupCheckPoint", "log:CreateExport", "log:GetExport", "log:ListExport", "log:UpdateExport", "log:DeleteExport", "log:CreateJob", "log:GetJob", "log:ListJobs", "log:UpdateJob", "log:DeleteJob", "ecs:AttachNetworkInterface", "ecs:AuthorizeSecurityGroup", "ecs:CreateNetworkInterface", "ecs:CreateNetworkInterfacePermission", "ecs:CreateRouteEntry", "ecs:CreateSecurityGroup", "ecs:DeleteNetworkInterface", "ecs:DeleteNetworkInterfacePermission", "ecs:DeleteRouteEntry", "ecs:DeleteSecurityGroup", "ecs:DescribeInstanceAttribute", "ecs:DescribeInstanceStatus", "ecs:DescribeInstanceTypeFamilies", "ecs:DescribeInstanceTypes", "ecs:DescribeInstances", "ecs:DescribeInstancesFullStatus", "ecs:DescribeNetworkInterfaceAttribute", "ecs:DescribeNetworkInterfaces", "ecs:DescribeRegions", "ecs:DescribeSecurityGroupAttribute", "ecs:DescribeSecurityGroups", "ecs:DescribeZones", "ecs:DetachNetworkInterface", "ecs:ListTagResources", "ecs:ModifyNetworkInterfaceAttribute", "ecs:RevokeSecurityGroup", "ecs:TagResources", "ecs:UntagResources", "vpc:CreateRouteEntry", "vpc:DeleteRouteEntry", "vpc:DescribeRegions", "vpc:DescribeVSwitchAttributes", "vpc:DescribeVSwitches", "vpc:DescribeVpcAttribute", "vpc:DescribeVpcs", "vpc:DescribeZones", "vpc:ListTagResources", "vpc:ModifyBypassToaAttribute", "vpc:TagResources", "vpc:UntagResources", "selectdb:DescribeSecurityIPList", "selectdb:ModifySecurityIPList" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "selectdb.aliyuncs.com" } } }, { "Action": [ "kms:Listkeys", "kms:Listaliases", "kms:ListResourceTags", "kms:DescribeKey", "kms:UntagResource", "kms:TagResource", "kms:DescribeAccountKmsStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEqualsIgnoreCase": { "kms:tag/acs:selectdb:instance-encryption": "true" // インスタンスの暗号化に KMS を使用する場合 } } }, { "Action": [ "rds:ModifySecurityIps", "rds:DescribeDBInstanceNetInfo", "rds:DescribeDBInstanceIPArrayList" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "arms:CheckServiceStatus", "arms:OpenArmsService", "arms:GetPrometheusApiToken", "arms:OpenVCluster", "arms:ListDashboards" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "slb:AddBackendServers", "slb:AddTags", "slb:AddVServerGroupBackendServers", "slb:CreateLoadBalancer", "slb:CreateLoadBalancerForCloudService", "slb:CreateLoadBalancerHTTPListener", "slb:CreateLoadBalancerHTTPSListener", "slb:CreateLoadBalancerTCPListener", "slb:CreateLoadBalancerUDPListener", "slb:CreateVServerGroup", "slb:DeleteLoadBalancer", "slb:DeleteLoadBalancerListener", "slb:DeleteVServerGroup", "slb:DescribeTags", "slb:DescribeVServerGroups", "slb:DescribeLoadBalancers", "slb:DescribeVServerGroupAttribute", "slb:DescribeLoadBalancerAttribute", "slb:DescribeLoadBalancerHTTPSListenerAttribute", "slb:DescribeLoadBalancerHTTPListenerAttribute", "slb:DescribeLoadBalancerListeners", "slb:DescribeLoadBalancerTCPListenerAttribute", "slb:DescribeLoadBalancerUDPListenerAttribute", "slb:ModifyLoadBalancerInstanceSpec", "slb:ModifyLoadBalancerInternetSpec", "slb:ModifyVServerGroupBackendServers", "slb:RemoveBackendServers", "slb:RemoveTags", "slb:DescribeAccessControlLists", "slb:RemoveVServerGroupBackendServers", "slb:SetLoadBalancerHTTPListenerAttribute", "slb:SetLoadBalancerHTTPSListenerAttribute", "slb:SetLoadBalancerTCPListenerAttribute", "slb:SetLoadBalancerUDPListenerAttribute", "slb:SetLoadBalancerModificationProtection", "slb:SetLoadBalancerDeleteProtection", "slb:SetVServerGroupAttribute", "slb:ServiceManagedControl", "slb:StartLoadBalancerListener", "slb:StopLoadBalancerListener", "slb:DeleteAccessControlList", "slb:CreateAccessControlList", "slb:DescribeAccessControlListAttribute", "slb:AddAccessControlListEntry", "slb:RemoveAccessControlListEntry" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "pvtz:DescribeUserServiceStatus", "pvtz:DescribeZones" ], "Resource": "*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "bssapi:QueryAvailableInstances" ], "Resource": "*" }, { "Action": "bss:DescribeAcccount", "Resource": "*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "bssapi:CreateInstance" ], "Resource": "*", "Condition": { "StringEquals": { "bssapi:ProductCode": "pvtz", "bssapi:ProductType": [ "pvtzpost" ] } } }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "eipaccess.slb.aliyuncs.com" } } } ], "Version": "1" }
AliyunServiceRoleForSelectDB ロールの作成
サービスリンクロール AliyunServiceRoleForSelectDB が作成されていない場合、ApsaraDB for SelectDB コンソールにログインするたびに、[apsaradb For Selectdb の有効化] を求められます。ApsaraDB for SelectDB を有効化すると、システムは自動的にサービスリンクロール AliyunServiceRoleForSelectDB を作成します。
サービスリンクロール AliyunServiceRoleForSelectDB が作成されていない場合、ApsaraDB for SelectDBを使用できません。
AliyunServiceRoleForSelectDB ロールの削除
RAMコンソールで AliyunServiceRoleForSelectDB ロールを削除できます。 詳細については、「RAM ロールの削除」をご参照ください。
サービスリンクロール AliyunServiceRoleForSelectDB を削除すると、ApsaraDB for SelectDB を使用できなくなります。ご注意ください。