Cloud Connect Network (CCN) インスタンスがトランジットルーターに接続された後、CCNインスタンスにPrivateZoneで必要な権限を付与することで、CCNインスタンスにアタッチされているオンプレミスネットワークがトランジットルーターを介してPrivateZoneサービスにアクセスできるようになります。 このトピックでは、さまざまなシナリオでCCNインスタンスに権限を付与する方法について説明します。
シナリオ1: すべてのインスタンスが同じAlibaba Cloudアカウントに属している
上の図は、CCNインスタンス、PrivateZoneがデプロイされている仮想プライベートクラウド (VPC) 、およびトランジットルーターのインスタンスが同じAlibaba Cloudアカウントに属しているシナリオを示しています。 このシナリオでは、CENコンソールでCCNに権限を付与できます。 次の表に、インスタンスが属するアカウントを示します。
リソース | 所有者アカウントID |
トランジットルーター | 253460731706911258 |
VPC | 253460731706911258 |
CCNインスタンス | 253460731706911258 |
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、PrivateZoneに関連付けられているVPCのリージョンのトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、[PrivateZone] タブをクリックし、[今すぐ許可] をクリックします。 [クラウドリソースアクセス権限付与] ページで、[権限付与ポリシーの確認] をクリックします。
説明PrivateZoneへのアクセスを初めて構成する場合にのみ、Smart Access Gateway (SAG) に権限を付与する必要があります。 SAGに権限を付与すると、CENインスタンスにアタッチされているCCNインスタンス (SAGのコンポーネント) はPrivateZoneにアクセスできます。
権限を付与すると、現在のAlibaba CloudアカウントのAliyunSmartAGAccessingPVTZRoleリソースアクセス管理 (RAM) ロールが自動的に作成されます。 RAMロールの詳細を検索して表示するには、RAMコンソールにログインし、 ページに移動します。
シナリオ2: CCNインスタンスが別のAlibaba Cloudアカウントに属している
上の図は、トランジットルーターとPrivateZoneがデプロイされているVPCが同じAlibaba Cloudアカウントに属しているが、CCNインスタンスが別のAlibaba Cloudアカウントに属しているシナリオを示しています。 このシナリオでは、VPCが属するAlibaba Cloudアカウントにアタッチされているポリシーを変更する必要があります。 次の表に、インスタンスが属するアカウントを示します。
リソース | 所有者アカウントID |
トランジットルーター | 253460731706911258 |
VPC | 253460731706911258 |
CCNインスタンス | 271598332402530847 |
VPCのAlibaba Cloudアカウントを使用して、CCNインスタンスにPrivateZoneへのアクセスを許可します。
VPCが属するAlibaba CloudアカウントでCENコンソールCENコンソールにログインします。
インスタンスページで、管理するCENインスタンスのIDをクリックします。
タブで、PrivateZoneサービスがデプロイされているVPCのリージョンのトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、[PrivateZone] タブをクリックし、[今すぐ許可] をクリックします。 [クラウドリソースアクセス権限付与] ページで、[権限付与ポリシーの確認] をクリックします。
説明PrivateZoneへのアクセスを初めて構成する場合にのみ、Smart Access Gateway (SAG) に権限を付与する必要があります。 SAGに権限を付与すると、CENインスタンスにアタッチされているCCNインスタンス (SAGのコンポーネント) はPrivateZoneにアクセスできます。
信頼ポリシーAliyunSmartAGAccessingPVTZRoleを変更して、別のAlibaba Cloudアカウントに属するCCNインスタンスがPrivateZoneにアクセスできるようにします。
VPCが属するAlibaba CloudアカウントでRAMコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ロールページで、AliyunSmartAGAccessingPVTZRole検索ボックスでRAMロールを検索し、ロール名をクリックします。
RAMロールの詳細ページで、信頼ポリシータブをクリックし、信頼ポリシーの編集をクリックします。
次のレコードを追加します。サービスパラメータ:
「CCNインスタンスがbelongs@smartag.aliyuncs.comするAlibaba CloudアカウントのID」信頼ポリシードキュメントの保存をクリックします。
シナリオ3: トランジットルーターが別のAlibaba Cloudアカウントに属している
上の図は、PrivateZoneがデプロイされているCCNインスタンスとVPCが同じAlibaba Cloudアカウントに属しているが、トランジットルーターが別のAlibaba Cloudアカウントに属しているシナリオを示しています。 このシナリオでは、VPCが属するAlibaba Cloudアカウントのポリシーを作成する必要があります。 次の表に、インスタンスが属するアカウントを示します。
リソース | 所有者アカウントID |
トランジットルーター | 271598332402530847 |
VPC | 253460731706911258 |
CCNインスタンス | 253460731706911258 |
VPCが属するAlibaba CloudアカウントでRAMコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ロールページで、ロールの作成をクリックします。
では、ロールの作成パネル、次のパラメータを設定します。
では、ロールタイプの選択ステップ、選択Alibaba Cloudサービスをクリックし、次へ.
では、ロールの設定ステップ、次のパラメータを設定し、OKをクリックします。
[ロールタイプ]: [通常のサービスロール] を選択します。
RAM ロール名 : AliyunSmartAGAccessingPVTZRole を入力します。
[信頼できるサービスの選択]: [スマートアクセスゲートウェイ] を選択します。
詳細については、「信頼できるAlibaba CloudサービスのRAMロールの作成」をご参照ください。
では、ロールの作成パネル、クリック閉じるに戻ります。ロールページに移動します。
ロールページで、AliyunSmartAGAccessingPVTZRole検索ボックスでロールを検索し、ロール名をクリックします。
[権限] タブで、[権限の付与] をクリックします。 [権限付与] パネルが表示されます。
[システムポリシー] の下の検索ボックスにキーワードpvtzを入力して、ポリシーAliyunPvtzReadOnlyAccessを検索します。 次に、ポリシー名をクリックし、PrivateZoneに読み取り専用権限を追加し、[OK] をクリックします。
では、権限付与パネル、クリックOKRAMロールの詳細ページに戻ります。
詳細ページで、信頼ポリシータブで認証情報を表示します。
シナリオ4: すべてのインスタンスが異なるAlibaba Cloudアカウントに属している
上の図は、CCNインスタンス、トランジットルーター、およびPrivateZoneがデプロイされているVPCが異なるAlibaba Cloudアカウントに属しているシナリオを示しています。 このシナリオでは、2つの権限付与操作を実行する必要があります。 次の表に、インスタンスが属するアカウントを示します。
リソース | 所有者アカウントID |
トランジットルーター | 253460731706911258 |
VPC | 283117732402483989 |
CCNインスタンス | 271598332402530847 |
を参照シナリオ3VPCが属するAlibaba Cloudアカウントのロールを作成し、そのロールにポリシーをアタッチします。
PrivateZoneのCCNインスタンス権限を付与するには、シナリオ2を参照してください。
次の図に示すように、異なるAlibaba Cloudアカウントに属する複数のCCNインスタンスがPrivateZoneにアクセスできるようにするには、CCNインスタンスをポリシーに追加します。
リソース | 所有者アカウントID |
トランジットルーター | 253460731706911258 |
VPC | 283117732402483989 |
CCNインスタンス1 | 271598332402530847 |
CCNインスタンス2 | 244831332402557259 |
CCNインスタンス3 | 287683832402436789 |
