Tablestore サービスリンクロールは、Tablestore が Object Storage Service (OSS) や PrivateLink などの他のクラウドサービスのリソースにアクセスするために作成する RAM ロールです。コンソールで関連機能を使用すると、システムが自動的に対応するサービスリンクロールを作成します。
サービスリンクロールの作成
以下の Tablestore 機能を使用すると、システムが自動的に対応するサービスリンクロールを作成します。各サービスリンクロールには、変更できないシステムポリシーが付属します。
機能 | サービスリンクロール |
データ配信 | AliyunServiceRoleForOTSDataDelivery |
PrivateLink | AliyunServiceRoleForOTSPrivateLink |
サービスリンクロール
このセクションでは、各サービスリンクロールの権限と利用シーンについて説明します。
AliyunServiceRoleForOTSDataDelivery
データ配信機能は、このロールを使用して OSS リソースにアクセスし、Tablestore から OSS へデータを配信します。このロールにより、次の OSS 操作に対する権限が付与されます:PutObject、AbortMultipartUpload、PutObjectTagging、GetObject、および DeleteObjectTagging。
関連システムポリシー:AliyunServiceRolePolicyForOTSDataDelivery
ポリシー内容:
{ "Version": "1", "Statement": [ { "Action": [ "oss:PutObject", "oss:AbortMultipartUpload", "oss:PutObjectTagging", "oss:GetObject", "oss:DeleteObjectTagging" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "datadelivery.ots.aliyuncs.com" } } } ] }
AliyunServiceRoleForOTSPrivateLink
PrivateLink 機能は、このロールを使用して VPC エンドポイントを作成します。
関連システムポリシー:AliyunServiceRolePolicyForOTSPrivateLink
ポリシー内容:
{ "Version": "1", "Statement": [ { "Action": [ "privatelink:OpenPrivateLinkService", "privatelink:CheckProductOpen", "privatelink:ListVpcEndpointServices", "privatelink:CreateVpcEndpoint", "privatelink:ListVpcEndpoints", "privatelink:UpdateVpcEndpointAttribute", "privatelink:GetVpcEndpointAttribute", "privatelink:ListVpcEndpointSecurityGroups", "privatelink:AttachSecurityGroupToVpcEndpoint", "privatelink:DetachSecurityGroupFromVpcEndpoint", "privatelink:AddZoneToVpcEndpoint", "privatelink:RemoveZoneFromVpcEndpoint", "privatelink:ListVpcEndpointZones", "privatelink:DeleteVpcEndpoint", "privatelink:ListVpcEndpointServicesByEndUser", "vpc:DescribeVpcs", "ecs:DescribeSecurityGroups", "vpc:DescribeVSwitches" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "pvl.ots.aliyuncs.com" } } }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "privatelink.aliyuncs.com" } } } ] }
サービスリンクロールの削除
関連機能を今後使用しない場合は、RAM コンソールで対応するサービスリンクロールを削除できます。
ロールを削除する前に、ご利用の Alibaba Cloud アカウント内のどのインスタンスも対応機能を使用していないことを確認してください。サービスリンクロールを削除すると、その機能は正しく動作しなくなります。
AliyunServiceRoleForOTSPrivateLink を削除する前に、Tablestore コンソールで PrivateLink 接続を解除する必要があります。解除しない場合、削除操作は失敗します。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
削除するロール(例:AliyunServiceRoleForOTSDataDelivery)を検索します。
操作 列で、削除ロール をクリックし、画面の指示に従ってロールを削除します。
よくある質問
RAM ユーザーのロール作成権限
必要な権限を持つユーザーのみが、Tablestore サービスリンクロールを自動的に作成または削除できます。RAM ユーザーが Tablestore サービスリンクロールを自動的に作成できない場合は、次のポリシーを当該 RAM ユーザーにアタッチする必要があります。
Alibaba Cloud account ID は、ご利用の Alibaba Cloud アカウント ID に置き換えてください。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*: Alibaba Cloud account ID :role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"datadelivery.ots.aliyuncs.com",
"pvl.ots.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}