すべてのプロダクト
Search

このプロダクト

    Application Real-Time Monitoring Service:ARMS のサービスリンクロール

    ドキュメントセンター

    Application Real-Time Monitoring Service:ARMS のサービスリンクロール

    最終更新日:Dec 30, 2024

    このトピックでは、Application Real-Time Monitoring Service (ARMS) の AliyunServiceRoleForARMS サービスリンクロールについて説明し、このロールを削除する方法を示します。

    背景情報

    AliyunServiceRoleForARMS サービスリンクロールは、特定のシナリオで ARMS 機能を実装するために、ARMS が他の Alibaba Cloud サービスにアクセスするために引き受ける RAM ロールです。サービスリンクロールの詳細については、サービスリンクロール を参照してください。

    シナリオ

    ARMS Prometheus モニタリングは、自動的に作成された AliyunServiceRoleForARMS ロールを使用して、Container Service for Kubernetes (ACK)Simple Log ServiceElastic Compute Service (ECS)Virtual Private Cloud (VPC) などの他の Alibaba Cloud サービスのリソースにアクセスできます。

    AliyunServiceRoleForARMS ロールの権限

    AliyunServiceRoleForARMS は、次のクラウドサービスにアクセスするための権限を持っています。

    ACK

    {
            "Action": [
                "cs:ScaleCluster",
                "cs:DeleteCluster",
                "cs:GetClusterById",
                "cs:GetClusters",
                "cs:GetUserConfig",
                "cs:CheckKritisInstall",
                "cs:GetKritisAttestationAuthority",
                "cs:GetKritisGenericAttestationPolicy",
                "cs:CreateCluster",
                "cs:AttachInstances",
                "cs:InstallKritis",
                "cs:InstallKritisAttestationAuthority",
                "cs:InstallKritisGenericAttestationPolicy",
                "cs:DeleteCluster",
                "cs:UpdateClusterTags",
                "cs:DeleteClusterNodes",
                "cs:UninstallKritis",
                "cs:DeleteKritisAttestationAuthority",
                "cs:DeleteKritisGenericAttestationPolicy",
                "cs:UpdateKritisAttestationAuthority",
                "cs:UpdateKritisGenericAttestationPolicy",
                "cs:UpgradeCluster",
                "cs:DeleteClusterNode",
                "cs:GetClusterLogs"
            ],
            "Resource": [
                "acs:cs:*:*:cluster/*"
            ],
            "Effect": "Allow"
        }

    Simple Log Service

    {
            "Action": [
                "log:CreateProject",
                "log:GetProject",
                "log:GetLogStoreLogs",
                "log:GetHistograms",
                "log:GetLogStoreHistogram",
                "log:GetLogStore",
                "log:ListLogStores",
                "log:CreateLogStore",
                "log:DeleteLogStore",
                "log:UpdateLogStore",
                "log:GetCursorOrData",
                "log:GetCursor",
                "log:PullLogs",
                "log:ListShards",
                "log:PostLogStoreLogs",
                "log:CreateConfig",
                "log:UpdateConfig",
                "log:DeleteConfig",
                "log:GetConfig",
                "log:ListConfig",
                "log:CreateMachineGroup",
                "log:UpdateMachineGroup",
                "log:DeleteMachineGroup",
                "log:GetMachineGroup",
                "log:ListMachineGroup",
                "log:ListMachines",
                "log:ApplyConfigToGroup",
                "log:RemoveConfigFromGroup",
                "log:GetAppliedMachineGroups",
                "log:GetAppliedConfigs",
                "log:GetShipperStatus",
                "log:RetryShipperTask",
                "log:CreateConsumerGroup",
                "log:UpdateConsumerGroup",
                "log:DeleteConsumerGroup",
                "log:ListConsumerGroup",
                "log:UpdateCheckPoint",
                "log:HeartBeat",
                "log:GetCheckPoint",
                "log:CreateIndex",
                "log:DeleteIndex",
                "log:GetIndex",
                "log:UpdateIndex",
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch",
                "log:GetSavedSearch",
                "log:DeleteSavedSearch",
                "log:ListSavedSearch",
                "log:CreateDashboard",
                "log:UpdateDashboard",
                "log:GetDashboard",
                "log:DeleteDashboard",
                "log:ListDashboard",
                "log:CreateJob",
                "log:UpdateJob"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }

    ECS

    {
            "Action": [
                "ecs:DescribeInstanceAutoRenewAttribute",
                "ecs:DescribeInstances",
                "ecs:DescribeInstanceStatus",
                "ecs:DescribeInstanceVncUrl",
                "ecs:DescribeSpotPriceHistory",
                "ecs:DescribeUserdata",
                "ecs:DescribeInstanceRamRole",
                "ecs:DescribeDisks",
                "ecs:DescribeSnapshots",
                "ecs:DescribeAutoSnapshotPolicy",
                "ecs:DescribeSnapshotLinks",
                "ecs:DescribeImages",
                "ecs:DescribeImageSharePermission",
                "ecs:DescribeClassicLinkInstances",
                "ecs:AuthorizeSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:DescribeSecurityGroupReferences",
                "ecs:RevokeSecurityGroup",
                "ecs:DescribeNetworkInterfaces",
                "ecs:DescribeTags",
                "ecs:DescribeRegions",
                "ecs:DescribeZones",
                "ecs:DescribeInstanceMonitorData",
                "ecs:DescribeEipMonitorData",
                "ecs:DescribeDiskMonitorData",
                "ecs:DescribeInstanceTypes",
                "ecs:DescribeInstanceTypeFamilies",
                "ecs:DescribeTasks",
                "ecs:DescribeTaskAttribute",
                "ecs:DescribeInstanceAttribute",
                "ecs:InvokeCommand",
                "ecs:CreateCommand",
                "ecs:StopInvocation",
                "ecs:DeleteCommand",
                "ecs:DescribeCommands",
                "ecs:DescribeInvocations",
                "ecs:DescribeInvocationResults",
                "ecs:ModifyCommand",
                "ecs:InstallCloudAssistant"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }

    VPC

    {
       "Action": [
           "vpc:DescribeVpcs",
           "vpc:DescribeVSwitches"
       ],
       "Resource": "*",
       "Effect": "Allow"
}

    AliyunServiceRoleForARMS ロールの削除

    セキュリティ上の理由から、ARMS Prometheus モニタリングを使用する必要がなくなった場合は、AliyunServiceRoleForARMS ロールを削除することをお勧めします。このロールを削除すると、アカウント内の Kubernetes クラスターを ARMS コンソール の Kubernetes クラスターのリストに同期できなくなります。また、ARMS は ARMS コンソールからのモニタリングデータの読み取りと書き込みを停止します。

    AliyunServiceRoleForARMS ロールを削除するには、次の手順を実行します。

    説明

    アカウントの Kubernetes クラスターに Prometheus エージェントがインストールされている場合は、最初にエージェントをアンインストールしてください。そうしないと、AliyunServiceRoleForARMS ロールを削除できません。詳細については、Prometheus エージェントのアンインストール を参照してください。

    1. 管理権限を持つ RAM ユーザーとして RAM コンソール にログオンします。

    2. 左側のナビゲーションペインで、ID > ロール を選択します。

    3. 表示されるページで、テキストボックスに AliyunServiceRoleForARMS と入力し、検索アイコンをクリックします。

    4. AliyunServiceRoleForARMS ロールの アクション 列で、ロールの削除 をクリックします。

    5. ロールの削除 ダイアログボックスで、AliyunServiceRoleForARMS と入力し、ロールの削除 をクリックします。

    FAQ

    AliyunServiceRoleForARMS サービスリンクロールが RAM ユーザーに対して自動的に作成されないのはなぜですか?

    AliyunServiceRoleForARMS ロールを自動的に作成または削除するには、特定の権限を取得する必要があります。AliyunServiceRoleForARMS ロールが RAM ユーザーに対して自動的に作成されるようにするには、次のポリシーを RAM ユーザーにアタッチします。

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID of your Alibaba Cloud account:role/*", // Alibaba Cloud アカウント ID を指定
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "arms.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}
    説明

    ポリシーステートメントの ID of your Alibaba Cloud account を Alibaba Cloud アカウント ID に置き換えます。