ApsaraMQ for RocketMQのサービスにリンクされたロール - ApsaraMQ for RocketMQ

Alibaba Cloudサービスは、機能を実装するために他のAlibaba Cloudサービスにアクセスする必要があります。この場合、Alibaba Cloudサービスにサービスにリンクされたロールを割り当てて、他のAlibaba Cloudサービスにアクセスするために必要な権限を取得できます。サービスにリンクされたロールは、RAM (Resource Access Management) ロールです。ほとんどの場合、操作を実行すると、システムはサービスにリンクされたロールを自動的に作成します。システムがサービスにリンクされたロールの作成に失敗した場合、またはApsaraMQ for RocketMQがサービスにリンクされたロールの自動作成をサポートしていない場合は、ロールを手動で作成する必要があります。

背景情報

RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。ポリシーは変更できません。特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。詳細については、「システムポリシー参照」をご参照ください。

サポートされるサービスにリンクされたロール

ApsaraMQ for RocketMQは、次の表に示すサービスにリンクされたロールを提供します。機能を初めて使用すると、システムは対応するロールを自動的に作成します。

たとえば、ApsaraMQ For RocketMQのダッシュボード機能を初めて使用すると、サービスにリンクされたロールAliyunServiceRoleForOnsが自動的に作成されます。

ロール名	添付ポリシー	権限
AliyunServiceRoleForOns	AliyunServiceRolePolicyForOns	ApsaraMQ for RocketMQはこのロールを引き受けて、次の権限を取得できます。アクセス権限モニタリングとアラート機能を実装するためのCloudMonitor。ダッシュボード機能を実装するためのPrometheus管理サービスへのアクセス許可。
AliyunServiceRoleForRMQMigration	AliyunServiceRolePolicyForRMQMigration	ApsaraMQ for RocketMQは、このRAMロールを引き受けて、仮想プライベートクラウド (VPC) にアクセスする権限を取得し、自己管理型Apache RocketMQクラスターをApsaraMQ for RocketMQインスタンスに移行できます。
AliyunServiceRoleForRMQDisasterRecovery	AliyunServiceRolePolicyForRMQDisasterRecovery	ApsaraMQ for RocketMQは、このロールを引き受けてEventBridgeにアクセスし、グローバルメッセージバックアップ機能を実装できます。
AliyunServiceRoleForRMQ	AliyunServiceRolePolicyForRMQ	ApsaraMQ for RocketMQ 5.xインスタンスにアタッチされたデフォルトポリシー。 ApsaraMQ for RocketMQ 5.xインスタンスを作成すると、システムは自動的にAliyunServiceRolePolicyForRMQポリシーをインスタンスにアタッチします。

ポリシードキュメント

AliyunServiceRoleForOns

次のコードは、サービスにリンクされたロールAliyunServiceRoleForOnsにアタッチされているAliyunServiceRolePolicyForOnsポリシーのドキュメントを提供します。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "cms:DescribeMetricRuleList",
        "cms:DescribeMetricList",
        "cms:DescribeMetricData"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "arms:OpenVCluster",
        "arms:ListDashboards",
        "arms:CheckServiceStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ons.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForRMQMigration

次のコードは、サービスにリンクされたロールAliyunServiceRoleForRMQMigrationにアタッチされているAliyunServiceRolePolicyForRMQMigrationポリシーのドキュメントを提供します。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:AttachSecurityGroupToVpcEndpoint",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:DetachSecurityGroupFromVpcEndpoint"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "migration.rmq.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForRMQDisasterRecovery

次のコードは、サービスにリンクされたロールAliyunServiceRoleForRMQDisasterRecoveryにアタッチされているAliyunServiceRolePolicyForRMQDisasterRecoveryポリシーのドキュメントを提供します。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "eventbridge:ListEventStreamings",
        "eventbridge:DeleteEventStreaming",
        "eventbridge:CreateEventStreaming",
        "eventbridge:StartEventStreaming",
        "eventbridge:UpdateEventStreaming",
        "eventbridge:PauseEventStreaming",
        "eventbridge:GetEventStreaming",
        "Ecs:DescribeSecurityGroups"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "disaster-recovery.rmq.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForRMQ

次のコードは、サービスにリンクされたロールAliyunServiceRoleForRMQにアタッチされているAliyunServiceRolePolicyForRMQポリシーのドキュメントを提供します。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:AttachSecurityGroupToVpcEndpoint",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:DetachSecurityGroupFromVpcEndpoint",
        "privatelink:UpdateVpcEndpointZoneConnectionResourceAttribute",
        "Ecs:CreateSecurityGroup",
        "Ecs:DeleteSecurityGroup",
        "Ecs:DescribeSecurityGroupAttribute",
        "Ecs:DescribeSecurityGroups",
        "kms:DescribeRegions",
        "kms:GetKmsInstance",
        "kms:ListKeys",
        "kms:ListAliases",
        "kms:ListResourceTags",
        "kms:DescribeKey",
        "kms:TagResource",
        "kms:UntagResource"
      ],
      "Resource": "*"
    },
    {
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:tag/acs:rocketmq:instance-encryption": "true"
        }
      }
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "rmq.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    }
  ]
}

サービスにリンクされたロールの詳細の表示

サービスにリンクされたロールを作成したら、RAMコンソールのロールの詳細ページに移動して、ロールの詳細を表示できます。サービスにリンクされたロールの詳細には、次の情報が含まれます。

基本情報
[基本情報] セクションでは、ロールに関する基本情報を表示できます。基本情報には、名前、作成時刻、Alibaba Cloud Resource name (ARN) 、および説明が含まれます。
ポリシー
[権限] タブでポリシー名をクリックすると、ポリシードキュメントを表示できます。
説明
サービスにリンクされたロールにアタッチされたポリシーは、RAMコンソールの [ポリシー] ページで表示できません。ポリシーは、ロールの詳細ページでのみ表示できます。
信頼ポリシー
[信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーのドキュメントを表示できます。信頼ポリシーは、RAMロールの信頼できるエンティティを記述します。信頼済みエンティティは、RAM ロールを割り当てることができるエンティティを指します。サービスにリンクされたロールの信頼済みエンティティは、クラウドサービスです。信頼ポリシーの [サービス] フィールドの値を表示して、信頼できるエンティティを取得できます。

サービスにリンクされたロールに関する情報を表示する方法の詳細については、「RAMロールに関する情報の表示」をご参照ください。

サービスにリンクされたロールの削除

重要

サービスにリンクされたロールを削除すると、ロールに依存する機能は使用できません。作業は慎重に行ってください。

Security Centerを長期間使用しない場合、またはAlibaba Cloudアカウントを削除する場合は、RAMコンソールでサービスにリンクされたロールを手動で削除する必要があります。詳細については、「RAMロールの削除」をご参照ください。

よくある質問

サービスにリンクされたロールAliyunServiceRoleForOns for ApsaraMQ for RocketMQがRAMユーザーに対して自動的に作成されないのはなぜですか。

Alibaba Cloudアカウントに対してサービスにリンクされたロールが作成されている場合、RAMユーザーはAlibaba Cloudアカウントのサービスにリンクされたロールを継承します。 RAMユーザーがロールを継承しない場合は、RAMコンソールにログインし、次の権限ポリシーを追加します。

{
  "Statement": [
    {
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "acs:ram:*:Alibaba Cloud account ID:role/*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName":  "ons.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}

説明

Alibaba CloudアカウントIDをAlibaba CloudアカウントのIDに置き換えます。

ポリシーがユーザーにアタッチされた後、サービスにリンクされたロールがRAMユーザーに対して自動的に作成されない場合は、次のいずれかのシステムポリシーをRAMユーザーにアタッチします。

AliyunMQFullAccess
AliyunMQReadOnlyAccess

上記のポリシーの詳細については、「システムポリシー」をご参照ください。