すべてのプロダクト
Search

このプロダクト

    ApsaraMQ for RocketMQ:サービスにリンクされたロール

    ドキュメントセンター

    ApsaraMQ for RocketMQ:サービスにリンクされたロール

    最終更新日:Jul 09, 2024

    Alibaba Cloudサービスは、機能を有効にするために他のAlibaba Cloudサービスへのアクセスを必要とする場合があります。 この場合、Alibaba Cloudサービスにサービスにリンクされたロールを割り当てて、他のAlibaba Cloudサービスにアクセスするために必要な権限を取得できます。 サービスにリンクされたロールは、RAM (Resource Access Management) ロールです。 ほとんどの場合、サービスにリンクされたロールは、操作を実行すると自動的に作成されます。 サービスにリンクされたロールの作成に失敗した場合、またはApsaraMQ for RocketMQによって自動的に作成できない場合は、ロールを手動で作成する必要があります。

    背景情報

    RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 システムポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。 詳細については、次をご参照ください:

    システムポリシー参照

    サポートされるサービスにリンクされたロール

    ApsaraMQ for RocketMQは、AliyunServiceRoleForOnsサービスにリンクされたロールを提供します。 初めて関連機能を使用すると、システムは自動的にロールを作成します。

    たとえば、ApsaraMQ For RocketMQのダッシュボード機能を初めて使用すると、システムは自動的にAliyunServiceRoleForOnsサービスにリンクされたロールを作成します。

    ロール名

    添付ポリシー

    権限

    AliyunServiceRoleForOns

    AliyunServiceRolePolicyForOns

    ApsaraMQ for RocketMQはこのロールを引き受けて、次の権限を取得できます。

    ポリシードキュメント

    AliyunServiceRoleForOns

    次のコードは、AliyunServiceRoleForOnsサービスにリンクされたロールにアタッチされているAliyunServiceRolePolicyForOnsポリシーを示しています。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cms:DescribeMetricRuleList" 、
                "cms:DescribeMetricList" 、
                "cms:DescribeMetricData"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "アーム: OpenVCluster" 、
                "arms:ListDashboards" 、
                「アーム: CheckServiceStatus」
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "アクション": "ram:DeleteServiceLinkedRole" 、
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "ons.aliyuncs.com"
                }
            }
        }
    ]
}

    サービスにリンクされたロールの詳細の表示

    サービスにリンクされたロールを作成したら、RAMコンソールのロールの詳細ページに移動してロールの詳細を表示できます。 サービスにリンクされたロールの詳細には、次の情報が含まれます。

    • 基本情報

      [基本情報] セクションでは、名前、作成時刻、Alibaba Cloud Resource name (ARN) 、説明など、ロールに関する基本情報を表示できます。

    • ポリシー

      [権限] タブでポリシー名をクリックすると、ポリシードキュメントを表示できます。

      説明

      サービスにリンクされたロールにアタッチされたポリシーは、RAMコンソールの [ポリシー] ページで表示できません。 権限ポリシーは、ロールの詳細ページでのみ表示できます。

    • 信頼ポリシー

      [信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーのドキュメントを表示できます。 信頼ポリシーは、RAMロールの信頼できるエンティティを記述します。 信頼済みエンティティは、RAM ロールを割り当てることができるエンティティを指します。 サービスにリンクされたロールの信頼済みエンティティは、クラウドサービスです。 信頼ポリシーの [サービス] フィールドの値を表示して、信頼できるエンティティを取得できます。

    サービスにリンクされたロールを表示する方法の詳細については、「RAMロールに関する情報の表示」をご参照ください。

    サービスにリンクされたロールの削除

    重要

    サービスにリンクされたロールを削除すると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。

    Security Centerを長期間使用しない場合、またはAlibaba Cloudアカウントを削除する場合は、RAMコンソールでサービスにリンクされたロールを手動で削除する必要があります。 詳細については、「RAMロールの削除」をご参照ください。

    よくある質問

    RAMユーザーがApsaraMQ for RocketMQのAliyunServiceRoleForOnsサービスにリンクされたロールを自動的に作成できないのはなぜですか。

    Alibaba Cloudアカウントに対してサービスにリンクされたロールが作成されている場合、RAMユーザーはAlibaba Cloudアカウントのサービスにリンクされたロールを継承します。 RAMユーザーがロールを継承しない場合は、RAMコンソールにログインし、次のポリシーを追加します。 

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:Alibaba CloudアカウントID:role/*" 、
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ram:ServiceName": "ons.aliyuncs.com"    
                }
            }
        }
    ],
    "バージョン": "1"
}
    説明

    Alibaba CloudアカウントIDをAlibaba CloudアカウントのIDに置き換えます。

    ポリシーがRAMユーザーにアタッチされた後、RAMユーザーがサービスにリンクされたロールを自動的に作成できない場合は、次のいずれかのポリシーをRAMユーザーにアタッチします。

    • AliyunMQFullAccess

    • AliyunMQPubOnlyAccess

    • AliyunMQSubOnlyAccess

    上記のポリシーの詳細については、「システムポリシー」をご参照ください。