すべてのプロダクト
Search

このプロダクト

    ApsaraMQ for RocketMQ:サービスにリンクされたロール

    ドキュメントセンター

    ApsaraMQ for RocketMQ:サービスにリンクされたロール

    最終更新日:Sep 25, 2024

    Alibaba Cloudサービスは、機能を実装するために他のAlibaba Cloudサービスにアクセスする必要があります。 この場合、Alibaba Cloudサービスにサービスにリンクされたロールを割り当てて、他のAlibaba Cloudサービスにアクセスするために必要な権限を取得できます。 サービスにリンクされたロールは、RAM (Resource Access Management) ロールです。 ほとんどの場合、操作を実行すると、システムはサービスにリンクされたロールを自動的に作成します。 システムがサービスにリンクされたロールの作成に失敗した場合、またはApsaraMQ for RocketMQがサービスにリンクされたロールの自動作成をサポートしていない場合は、ロールを手動で作成する必要があります。

    背景情報

    RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 システムポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。 詳細については、次をご参照ください: システムポリシー参照

    サポートされるサービスにリンクされたロール

    ApsaraMQ for RocketMQは、次の表に示すサービスにリンクされたロールを提供します。 機能を初めて使用すると、システムは対応するロールを自動的に作成します。

    たとえば、ApsaraMQ For RocketMQのダッシュボード機能を初めて使用すると、システムは自動的にAliyunServiceRoleForOnsサービスにリンクされたロールを作成します。

    ロール名

    添付ポリシー

    権限

    AliyunServiceRoleForOns

    AliyunServiceRolePolicyForOns

    ApsaraMQ for RocketMQはこのロールを引き受けて、次の権限を取得できます。

    AliyunServiceRoleForRMQMigration

    AliyunServiceRolePolicyForRMQMigration

    ApsaraMQ for RocketMQは、このRAMロールを引き受けて、仮想プライベートクラウド (VPC) にアクセスする権限を取得し、自己管理型Apache RocketMQクラスターをApsaraMQ for RocketMQインスタンスに移行できます。

    AliyunServiceRoleForRMQDisasterRecovery

    AliyunServiceRolePolicyForRMQDisasterRecovery

    ApsaraMQ for RocketMQは、このロールを引き受けてEventBridgeにアクセスし、グローバルメッセージバックアップ機能を実装できます。

    ポリシードキュメント

    • AliyunServiceRoleForOns

      次のコードは、AliyunServiceRoleForOnsサービスにリンクされたロールにアタッチされているAliyunServiceRolePolicyForOnsポリシーのドキュメントを提供します。

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "cms:DescribeMetricRuleList",
        "cms:DescribeMetricList",
        "cms:DescribeMetricData"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "arms:OpenVCluster",
        "arms:ListDashboards",
        "arms:CheckServiceStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "ons.aliyuncs.com"
        }
      }
    }
  ]
}

    • AliyunServiceRoleForRMQMigration

      次のコードは、AliyunServiceRoleForRMQMigrationロールにアタッチされているAliyunServiceRolePolicyForRMQMigrationポリシーのドキュメントを提供します。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "privatelink:CreateVpcEndpoint",
        "privatelink:ListVpcEndpoints",
        "privatelink:GetVpcEndpointAttribute",
        "privatelink:AddZoneToVpcEndpoint",
        "privatelink:ListVpcEndpointZones",
        "privatelink:RemoveZoneFromVpcEndpoint",
        "privatelink:DeleteVpcEndpoint",
        "privatelink:AttachSecurityGroupToVpcEndpoint",
        "privatelink:ListVpcEndpointSecurityGroups",
        "privatelink:DetachSecurityGroupFromVpcEndpoint"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "migration.rmq.aliyuncs.com"
        }
      }
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "privatelink.aliyuncs.com"
        }
      }
    }
  ]
}

    • AliyunServiceRoleForRMQDisasterRecovery

      次のコードは、AliyunServiceRoleForRMQDisasterRecoveryサービスにリンクされたロールにアタッチされているAliyunServiceRolePolicyForRMQDisasterRecoveryポリシーのドキュメントを提供します。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "eventbridge:ListEventStreamings",
        "eventbridge:DeleteEventStreaming",
        "eventbridge:CreateEventStreaming",
        "eventbridge:StartEventStreaming",
        "eventbridge:UpdateEventStreaming",
        "eventbridge:PauseEventStreaming",
        "eventbridge:GetEventStreaming",
        "Ecs:DescribeSecurityGroups"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "disaster-recovery.rmq.aliyuncs.com"
        }
      }
    }
  ]
}

    サービスにリンクされたロールの詳細の表示

    サービスにリンクされたロールを作成したら、RAMコンソールのロールの詳細ページに移動して、ロールの詳細を表示できます。 サービスにリンクされたロールの詳細には、次の情報が含まれます。

    • 基本情報

      [基本情報] セクションでは、名前、作成時刻、Alibaba Cloud Resource name (ARN) 、説明など、ロールに関する基本情報を表示できます。

    • ポリシー

      [権限] タブでポリシー名をクリックすると、ポリシードキュメントを表示できます。

      説明

      サービスにリンクされたロールにアタッチされている権限ポリシーは、RAM コンソールの [ポリシー] ページには表示されません。 権限ポリシーは、ロールの詳細ページでのみ表示できます。

    • 信頼ポリシー

      [信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーのドキュメントを表示できます。 信頼ポリシーは、RAMロールの信頼できるエンティティを記述します。 信頼済みエンティティは、RAM ロールを割り当てることができるエンティティを指します。 サービスにリンクされたロールの信頼済みエンティティは、クラウドサービスです。 信頼ポリシーの [サービス] フィールドの値を表示して、信頼できるエンティティを取得できます。

    サービスにリンクされたロールを表示する方法の詳細については、「RAMロールに関する情報の表示」をご参照ください。

    サービスにリンクされたロールの削除

    重要

    サービスにリンクされたロールを削除すると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。

    Security Centerを長期間使用しない場合、またはAlibaba Cloudアカウントを削除する場合は、RAMコンソールでサービスにリンクされたロールを手動で削除する必要があります。 詳細については、「RAMロールの削除」をご参照ください。

    よくある質問

    ApsaraMQ for RocketMQのAliyunServiceRoleForOnsサービスにリンクされたロールをRAMユーザーに対して自動的に作成できないのはなぜですか。

    Alibaba Cloudアカウントに対してサービスにリンクされたロールが作成されている場合、RAMユーザーはAlibaba Cloudアカウントのサービスにリンクされたロールを継承します。 RAMユーザーがロールを継承しない場合は、RAMコンソールにログインし、次の権限ポリシーを追加します。 

    {
  "Statement": [
    {
      "Action": [
        "ram:CreateServiceLinkedRole"
      ],
      "Resource": "acs:ram:*:Alibaba Cloud account ID:role/*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName":  "ons.aliyuncs.com"
        }
      }
    }
  ],
  "Version": "1"
}
    説明

    Alibaba CloudアカウントIDをAlibaba CloudアカウントのIDに置き換えます。

    ポリシーがRAMユーザーにアタッチされた後に、サービスにリンクされたロールを自動的に作成できない場合は、次のいずれかのシステムポリシーをRAMユーザーにアタッチします。

    • AliyunMQFullAccess

    • AliyunMQReadOnlyAccess

    上記のポリシーの詳細については、「システムポリシー」をご参照ください。