Cloud Governance Center は、AliyunServiceRoleForGovernance、AliyunServiceRoleForGovernanceSetup、AliyunServiceRoleForGovernanceNetworkBlueprint、AliyunServiceRoleForGovernanceCloudNativeBlueprint というサービスリンクロールを提供します。このトピックでは、これらのサービスリンクロールの作成、表示、削除方法について説明します。
概要
サービスリンクロールは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。サービスリンクロールを使用することで、サービス間の認可アクセスを実現できます。次の表は、Cloud Governance Center が提供するサービスリンクロールの一覧です。
サービスリンクロール | サービス識別子 | アクセスポリシー名 |
governance.aliyuncs.com | AliyunServiceRolePolicyForGovernance | |
setup.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceSetup | |
blueprint-network.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceNetworkBlueprint | |
blueprint-cloud-native.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceCloudNativeBlueprint | |
health-report.governance.aliyuncs.com | AliyunServiceRolePolicyForGovernanceHealthReport |
詳細については、「サービスリンクロール」をご参照ください。
AliyunServiceRoleForGovernance
利用シーン
このサービスリンクロールは、リソースディレクトリの管理アカウント用に作成されます。このロールは、以下のシナリオに適しています。
企業のリソース構造を初期化する際、Cloud Governance Center はこのサービスリンクロールを使用して、リソースディレクトリの有効化、フォルダの作成、メンバーの作成、管理アカウントの信頼関係のクエリなどの関連操作を実行する必要があります。
Cloud Governance Center が企業のリソースディレクトリを表示および管理する際、Cloud Governance Center はこのサービスリンクロールを使用して、リソースディレクトリに関するリアルタイムの情報を取得し、フォルダの削除やメンバーの移動などの関連操作を実行する必要があります。
サービスリンクロールの作成
Cloud Governance Center を有効化する際に、このサービスリンクロールを作成する必要があります。詳細については、「Cloud Governance Center の有効化」をご参照ください。
サービスリンクロールの表示
AliyunServiceRoleForGovernance サービスリンクロールが作成された後、管理アカウントを使用して Resource Access Management (RAM) コンソールにログインし、[ロール] ページで AliyunServiceRoleForGovernance を検索します。ロールに関する以下の情報を表示できます。
基本情報
ロール詳細ページの [基本情報] セクションには、ロール名、作成時間、Alibaba Cloud リソースネーム (ARN)、説明などのロールの基本情報が表示されます。
アクセスポリシー
ロール詳細ページで、[権限管理] タブをクリックします。アクセスポリシー名をクリックすると、ポリシードキュメントが表示されます。
説明サービスリンクロールのアクセスポリシーはロール詳細ページで表示できますが、RAM コンソールの [ポリシー] ページでは表示できません。
信頼ポリシー
ロール詳細ページで、[信頼ポリシー] タブをクリックして、信頼ポリシードキュメントを表示します。信頼ポリシーは、RAM ロールを引き受けることができる信頼できるエンティティを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、信頼ポリシーの
Serviceフィールドで指定されます。
サービスリンクロールの表示方法の詳細については、「RAM ロールに関する情報の表示」をご参照ください。
サービスリンクロールの削除
サービスリンクロールを削除すると、そのロールに依存する機能が使用できなくなります。操作は慎重に行ってください。
長期間 Cloud Governance Center を使用しない場合や、Alibaba Cloud アカウントを解約したい場合は、サービスリンクロールを手動で削除する必要がある場合があります。
サービスリンクロールがクラウドリソースで使用されていない場合は、RAM コンソールでサービスリンクロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。
AliyunServiceRoleForGovernanceSetup
利用シーン
このサービスリンクロールは、リソースディレクトリのメンバー用に作成されます。このロールは、以下のシナリオに適しています。
このロールは、リソースディレクトリのメンバーに機能を設定する際に必要です。たとえば、ログ配信監査機能を設定する場合、Cloud Governance Center はこのロールを使用して、必要な権限を持つ RAM ロールを作成する必要があります。この RAM ロールは、その機能に固有の操作を実行するために使用されます。
サービスリンクロールを削除したい場合、Cloud Governance Center はこのサービスリンクロールを使用して、メンバーが属するリソースディレクトリをクエリし、サービスリンクロールを削除できるかどうかを判断します。
サービスリンクロールの作成
Cloud Governance Center が Landing Zone を構築する際、システムは必要なメンバーに対してこのサービスリンクロールを自動的に作成します。
サービスリンクロールの表示
AliyunServiceRoleForGovernanceSetup サービスリンクロールが作成された後、メンバーを使用して RAM コンソールにログインし、[ロール] ページで AliyunServiceRoleForGovernanceSetup を検索します。ロールに関する以下の情報を表示できます。
基本情報
ロール詳細ページの [基本情報] セクションには、ロール名、作成時間、Alibaba Cloud リソースネーム (ARN)、説明などのロールの基本情報が表示されます。
アクセスポリシー
ロール詳細ページで、[権限管理] タブをクリックします。アクセスポリシー名をクリックすると、ポリシードキュメントが表示されます。
説明サービスリンクロールのアクセスポリシーはロール詳細ページで表示できますが、RAM コンソールの [ポリシー] ページでは表示できません。
信頼ポリシー
ロール詳細ページで、[信頼ポリシー] タブをクリックして、信頼ポリシードキュメントを表示します。信頼ポリシーは、RAM ロールを引き受けることができる信頼できるエンティティを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、信頼ポリシーの
Serviceフィールドで指定されます。
サービスリンクロールの削除
サービスリンクロールを削除すると、そのロールに依存する機能が使用できなくなります。操作は慎重に行ってください。
長期間 Cloud Governance Center を使用しない場合や、Alibaba Cloud アカウントを解約したい場合は、サービスリンクロールを手動で削除する必要がある場合があります。
メンバーからサービスリンクロールを削除するには、まずリソースディレクトリからそのメンバーを削除する必要があります。
サービスリンクロールがクラウドリソースで使用されていない場合は、RAM コンソールでサービスリンクロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。
AliyunServiceRoleForGovernanceNetworkBlueprint
利用シーン
このサービスリンクロールは、リソースディレクトリのメンバー用に作成されます。このロールは、以下のシナリオに適しています。
このロールは、リソースディレクトリのメンバーにネットワーク設定を構成する際に必要です。たとえば、共有サービスアカウントに Cloud Enterprise Network (CEN) インスタンスを設定する場合、Cloud Governance Center はこのロールを使用して CEN を有効化し、CEN インスタンスを作成し、ルーティングルールを設定する必要があります。
サービスリンクロールを削除したい場合、Cloud Governance Center はこのサービスリンクロールを使用して、メンバーが属するリソースディレクトリをクエリし、サービスリンクロールを削除できるかどうかを判断します。
サービスリンクロールの作成
ネットワーク設定を初期化する際、Cloud Governance Center は必要なメンバー内にこのサービスリンクロールを自動的に作成します。
サービスリンクロールの表示
AliyunServiceRoleForGovernanceNetworkBlueprint サービスリンクロールが作成された後、メンバーを使用して RAM コンソールにログインし、[ロール] ページで AliyunServiceRoleForGovernanceNetworkBlueprint を検索します。ロールに関する以下の情報を表示できます。
基本情報
ロール詳細ページの [基本情報] セクションには、ロール名、作成時間、Alibaba Cloud リソースネーム (ARN)、説明などのロールの基本情報が表示されます。
アクセスポリシー
ロール詳細ページで、[権限管理] タブをクリックします。アクセスポリシー名をクリックすると、ポリシードキュメントが表示されます。
説明サービスリンクロールのアクセスポリシーはロール詳細ページで表示できますが、RAM コンソールの [ポリシー] ページでは表示できません。
信頼ポリシー
ロール詳細ページで、[信頼ポリシー] タブをクリックして、信頼ポリシードキュメントを表示します。信頼ポリシーは、RAM ロールを引き受けることができる信頼できるエンティティを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、信頼ポリシーの
Serviceフィールドで指定されます。
サービスリンクロールの削除
サービスリンクロールを削除すると、そのロールに依存する機能が使用できなくなります。操作は慎重に行ってください。
長期間 Cloud Governance Center を使用しない場合や、Alibaba Cloud アカウントを解約したい場合は、サービスリンクロールを手動で削除する必要がある場合があります。
サービスリンクロールを削除する前に、リソースディレクトリからメンバーを削除する必要があります。
サービスリンクロールがクラウドリソースで使用されていない場合は、RAM コンソールでサービスリンクロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。
AliyunServiceRoleForGovernanceCloudNativeBlueprint
利用シーン
このサービスリンクロールは、リソースディレクトリのメンバー用に作成されます。このロールは、以下のシナリオに適しています。
このロールは、リソースディレクトリのメンバーにクラウドネイティブ設定を構成する際に必要です。たとえば、共有サービスアカウントに Kubernetes クラスターを設定する場合、Cloud Governance Center はこのロールを使用して Container Service for Kubernetes (ACK) を有効化し、Kubernetes クラスターを作成する必要があります。
サービスリンクロールを削除したい場合、Cloud Governance Center はこのサービスリンクロールを使用して、メンバーが属するリソースディレクトリをクエリし、サービスリンクロールを削除できるかどうかを判断します。
サービスリンクロールの作成
クラウドネイティブ設定を初期化する際、Cloud Governance Center は必要なメンバー内にこのサービスリンクロールを自動的に作成します。
サービスリンクロールの表示
AliyunServiceRoleForGovernanceCloudNativeBlueprint サービスリンクロールが作成された後、メンバーを使用して RAM コンソールにログインし、[ロール] ページで AliyunServiceRoleForGovernanceCloudNativeBlueprint を検索します。ロールに関する以下の情報を表示できます。
基本情報
ロール詳細ページの [基本情報] セクションには、ロール名、作成時間、Alibaba Cloud リソースネーム (ARN)、説明などのロールの基本情報が表示されます。
アクセスポリシー
ロール詳細ページで、[権限管理] タブをクリックします。アクセスポリシー名をクリックすると、ポリシードキュメントが表示されます。
説明サービスリンクロールのアクセスポリシーはロール詳細ページで表示できますが、RAM コンソールの [ポリシー] ページでは表示できません。
信頼ポリシー
ロール詳細ページで、[信頼ポリシー] タブをクリックして、信頼ポリシードキュメントを表示します。信頼ポリシーは、RAM ロールを引き受けることができる信頼できるエンティティを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、信頼ポリシーの
Serviceフィールドで指定されます。
サービスリンクロールの削除
サービスリンクロールを削除すると、そのロールに依存する機能が使用できなくなります。操作は慎重に行ってください。
長期間 Cloud Governance Center を使用しない場合や、Alibaba Cloud アカウントを解約したい場合は、サービスリンクロールを手動で削除する必要がある場合があります。
メンバーのサービスリンクロールを削除する前に、リソースディレクトリからメンバーを削除する必要があります。
サービスリンクロールがクラウドリソースで使用されていない場合は、RAM コンソールでサービスリンクロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。
AliyunServiceRoleForGovernanceHealthReport
利用シーン
クラウドヘルス診断中に、このサービスリンクロールは Cloud Governance Center を有効化し、Security Center の Cloud Security Posture Management (CSPM) にアクセスして、ご利用のクラウドのヘルスステータスを評価するために必要です。
サービスリンクロールの作成
診断を開始すると、このサービスリンクロールが現在のアカウントに作成されます。
サービスリンクロールの表示
サービスリンクロールが作成された後、アカウントにログインします。RAM コンソールで、[ロール] ページに移動し、AliyunServiceRoleForGovernanceHealthReport を検索して、ロールに関する以下の情報を表示します。
基本情報
ロール詳細ページの [基本情報] セクションには、ロール名、作成時間、Alibaba Cloud リソースネーム (ARN)、説明などのロールの基本情報が表示されます。
アクセスポリシー
ロール詳細ページで、[権限管理] タブをクリックします。アクセスポリシー名をクリックすると、ポリシードキュメントが表示されます。
説明サービスリンクロールのアクセスポリシーはロール詳細ページで表示できますが、RAM コンソールの [ポリシー] ページでは表示できません。
信頼ポリシー
ロール詳細ページで、[信頼ポリシー] タブをクリックして、信頼ポリシードキュメントを表示します。信頼ポリシーは、RAM ロールを引き受けることができる信頼できるエンティティを定義します。サービスリンクロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、信頼ポリシーの
Serviceフィールドで指定されます。
サービスリンクロールの削除
サービスリンクロールを削除すると、ロールに依存する機能が動作しなくなります。操作は慎重に行ってください。
クラウドヘルス診断を今後使用しない場合や、Alibaba Cloud アカウントを解約したい場合は、サービスリンクロールを手動で削除する必要がある場合があります。
RAM コンソールでサービスリンクロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。