すべてのプロダクト
Search

このプロダクト

    :Application Security のサービスにリンクされたロール

    ドキュメントセンター

    :Application Security のサービスにリンクされたロール

    最終更新日:Dec 30, 2024

    このトピックでは、AliyunServiceRoleForARMSSecurity サービスにリンクされたロールと、ロールを削除する方法について説明します。

    背景情報

    Application Real-Time Monitoring Service (ARMS) は、AliyunServiceRoleForARMSSecurity サービスにリンクされたロールを提供して、他のクラウドサービスにアクセスするための権限を取得します。サービスにリンクされたロールの詳細については、サービスにリンクされたロール を参照してください。

    シナリオ

    Application Security が Web Application Firewall (WAF) のリソースにアクセスする必要がある場合、AliyunServiceRoleForARMSSecurity サービスにリンクされたロールを使用してアクセス権限を取得できます。

    権限

    AliyunServiceRoleForARMSSecurity サービスにリンクされたロールは、WAF にアクセスするために次の権限を付与します。

    WAF

    {
      "Action": [
        "yundun-waf:ModifyProtectionConfig",
        "yundun-waf:ModifyApplicationsRaspState",
        "yundun-waf:DescribeRiskDependencyStatisticsInfo",
        "yundun-waf:DescribeRiskDependencies",
        "yundun-waf:DescribeRiskCount",
        "yundun-waf:DescribeProtectionStatisticsInfo",
        "yundun-waf:DescribeProtectionConfig",
        "yundun-waf:DescribeMiddlewareInstances",
        "yundun-waf:DescribeDependencyInstances",
        "yundun-waf:DescribeDependencies",
        "yundun-waf:DescribeAttackStatisticsInfo",
        "yundun-waf:DescribeAttacks",
        "yundun-waf:DescribeAttackCount",
        "yundun-waf:DescribeAttackApplicationCount",
        "yundun-waf:DescribeApplications"
        "yundun-waf:GetRaspCommercialStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

    AliyunServiceRoleForARMSSecurity を削除する

    AliyunServiceRoleForARMSSecurity サービスにリンクされたロールを削除する場合、その結果に注意する必要があります。 AliyunServiceRoleForARMSSecurity を削除すると、Application Security に関連するコンソールページを表示できなくなります。 Application Security を使用する場合は、権限を再度付与する必要があります。

    AliyunServiceRoleForARMSSecurity を削除するには、次の手順を実行します。

    説明

    現在のアカウントに属するアプリケーションが Application Security に接続されている場合は、ロールを削除する前にアプリケーションを切断して再起動してください。 そう lo しないと、削除は失敗します。 アプリケーションの切断方法の詳細については、アプリケーションを Application Security に接続する を参照してください。

    1. 管理権限を持つ RAM ユーザーとして RAM コンソール にログオンします。

    2. 左側のナビゲーションペインで、ID > ロール を選択します。

    3. ロール ページで、検索ボックスに AliyunServiceRoleForARMSSecurity と入力してロールを検索します。

    4. ロール ページで、削除する RAM ユーザーを見つけ、ロールの削除アクション 列の をクリックします。

    5. ロールの削除 ダイアログボックスで、RAM ロールの名前を入力し、ロールの削除 をクリックします。

      ポリシーが RAM ロールにアタッチされている場合、RAM ロールを削除するとポリシーはデタッチされます。

      削除に失敗した RAM ロールの場合は、RAM ロールリストの右上隅にある ロールの削除 をクリックして詳細を表示できます。

    FAQ

    Q: なぜ AliyunServiceRoleForARMSSecurity サービスにリンクされたロールが RAM ユーザーに自動的に作成されないのですか?

    A: AliyunServiceRoleForARMSSecurity サービスにリンクされたロールは、RAM ユーザーに必要な権限を付与した後にのみ、RAM ユーザーに自動的に作成または削除できます。 AliyunServiceRoleForARMSSecurity サービスにリンクされたロールが RAM ユーザーに自動的に作成されない場合は、カスタムポリシーまたは AliyunARMSFullAccess システムポリシーを RAM ユーザーにアタッチする必要があります。

    カスタムポリシーまたは AliyunARMSFullAccess システムポリシーは、次のシナリオで使用できます。

    • カスタムポリシーを使用して、RAM ユーザーに読み取り専用モードで Application Security を使用する権限のみを付与できます。

    • AliyunARMSFullAccess システムポリシーを使用して、RAM ユーザーに Application Security を使用する権限を含む、ARMS を管理するために必要なすべての権限を付与できます。

    (オプション) ステップ 1: カスタムポリシーを作成する

    1. 管理権限を持つ RAM ユーザーとして RAM コンソール にログオンします。

    2. 左側のナビゲーションペインで、権限 > ポリシー を選択します。

    3. ポリシー ページで、ポリシーの作成 をクリックします。

      image

    4. ポリシーの作成 ページで、JSON タブをクリックします。 ポリシードキュメントに次のスクリプトを入力します。

      {
  "Statement": [{
    "Action": [
      "ram:CreateServiceLinkedRole"
    ],
    "Resource": "acs:ram:*:Alibaba Cloud account ID:role/*", // Alibaba CloudアカウントIDを実際のアカウントIDに置き換えます。
    "Effect": "Allow",
    "Condition": {
      "StringEquals": {
        "ram:ServiceName": [
          "security.arms.aliyuncs.com"
        ]
      }
    }
  }, {
    "Action": "arms:CreateSecurityAuth",
    "Effect": "Allow",
    "Resource": "*"
  }],
  "Version": "1"
}
      説明

      Alibaba Cloud アカウントの ID を実際のアカウント ID に置き換えます。

    5. 上部にある オプションの詳細最適化 をクリックします。 オプションの詳細最適化メッセージで、実行 をクリックしてポリシーを最適化します。

      システムは、詳細最適化中に次の操作を実行します。

      • アクションと互換性のないリソースまたは条件を分割します。

      • リソースを絞り込みます。

      • ポリシー文を重複排除またはマージします。

    6. ポリシーの作成 ページで、OK をクリックします。

    7. ポリシーの作成 ダイアログボックスで、名前説明 パラメータを設定し、OK をクリックします。

    ステップ 2: カスタムポリシーを RAM ユーザーにアタッチする

    1. RAM 管理者として RAM コンソール にログオンします。

    2. 左側のナビゲーションペインで、ID > ユーザー を選択します。

    3. ユーザー ページで、必要な RAM ユーザーを見つけ、アクセス許可を追加アクション 列の をクリックします。

      image

      複数の RAM ユーザーを選択し、ページの下部にある 権限の追加 をクリックして、RAM ユーザーに一度に権限を付与することもできます。

    4. 権限の付与 パネルで、RAM ユーザーに 1 つ以上の権限を付与します。

      1. リソーススコープ を設定します。

      2. プリンシパル を設定します。

        プリンシパルは、権限を付与する RAM ユーザーです。 システムは、現在の RAM ユーザーグループをプリンシパルとして自動的に選択します。

      3. ポリシー を設定します。

        ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。

        • システムポリシー: Alibaba Cloud によって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloud によって維持されます。 詳細については、RAM で動作するサービス を参照してください。

          説明

          システムは、AdministratorAccess や AliyunRAMFullAccess などの高リスクのシステムポリシーを自動的に識別します。 高リスクのポリシーをアタッチして不要な権限を付与しないことをお勧めします。

        • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーの作成、更新、削除ができます。 詳細については、カスタムポリシーを作成する を参照してください。

      4. 権限の付与 をクリックします。

    5. 閉じる をクリックします。