すべてのプロダクト
Search

このプロダクト

    Cloud Governance Center:Cloud Governance Center のサービスロール

    ドキュメントセンター

    Cloud Governance Center:Cloud Governance Center のサービスロール

    最終更新日:Jan 17, 2025

    Cloud Governance Center は、AliyunServiceRoleForGovernance、AliyunServiceRoleForGovernanceSetup、AliyunServiceRoleForGovernanceNetworkBlueprint、および AliyunServiceRoleForGovernanceCloudNativeBlueprint というサービスロールを提供します。このトピックでは、サービスロールの作成、表示、または削除の方法について説明します。

    概要

    サービスロールとは、信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。サービスロールを使用すると、サービス間で承認されたアクセスを実装できます。次の表に、Cloud Governance Center によって提供されるサービスロールを示します。

    サービスロール

    サービス識別子

    ポリシー

    AliyunServiceRoleForGovernance

    governance.aliyuncs.com

    AliyunServiceRolePolicyForGovernance

    AliyunServiceRoleForGovernanceSetup

    setup.governance.aliyuncs.com

    AliyunServiceRolePolicyForGovernanceSetup

    AliyunServiceRoleForGovernanceNetworkBlueprint

    blueprint-network.governance.aliyuncs.com

    AliyunServiceRolePolicyForGovernanceNetworkBlueprint

    AliyunServiceRoleForGovernanceCloudNativeBlueprint

    blueprint-cloud-native.governance.aliyuncs.com

    AliyunServiceRolePolicyForGovernanceCloudNativeBlueprint

    詳細については、「サービスロール」をご参照ください。

    AliyunServiceRoleForGovernance

    シナリオ

    このサービスロールは、リソースディレクトリの管理アカウント用に作成されます。このロールは、以下のシナリオに適しています。

    • 企業のリソース構造を初期化する場合、Cloud Governance Center は、このサービスロールを使用して、リソースディレクトリの有効化、フォルダの作成、メンバーの作成、管理アカウントの受託者のクエリなど、関連する操作を実行する必要があります。

    • Cloud Governance Center が企業のリソースディレクトリを表示および管理する場合、Cloud Governance Center は、このサービスロールを使用して、リソースディレクトリに関するリアルタイム情報を取得し、フォルダの削除やメンバーの移動などの関連操作を実行する必要があります。

    サービスロールの作成

    Cloud Governance Center をアクティブ化するときは、このサービスロールを作成する必要があります。詳細については、「Cloud Governance Center のアクティブ化」をご参照ください。

    サービスロールの表示

    AliyunServiceRoleForGovernance サービスロールが作成されると、管理アカウントを使用して Resource Access Management (RAM) コンソールにログインし、[ロール] ページで AliyunServiceRoleForGovernance を検索できます。ロールに関する以下の情報を表示できます。

    • 基本情報

      [基本情報] セクションでは、ロールの名前、作成時間、Alibaba Cloud Resource Name (ARN)、説明など、ロールに関する基本情報を表示できます。

    • 権限ポリシー

      [権限] タブで、ポリシー名をクリックすると、ポリシードキュメントを表示できます。

      説明

      RAM コンソールの [ポリシー] ページでは、サービスロールにアタッチされている権限ポリシーを表示することはできません。権限ポリシーは、ロールの詳細ページでのみ表示できます。

    • 信頼ポリシー

      [信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシードキュメントを表示できます。信頼ポリシーとは、RAM ロールの信頼できるエンティティが含まれるポリシーです。信頼できるエンティティとは、RAM ロールを引き受けることができるエンティティを指します。サービスロールの信頼できるエンティティはクラウドサービスです。信頼できるエンティティを取得するには、サービスロールの信頼ポリシーで Service フィールドの値を確認します。

    詳細については、「RAM ロールの情報を表示する」をご参照ください。

    サービスリンクロールを削除する

    重要

    サービスリンクロールが削除されると、そのロールに依存する機能は使用できなくなります。 慎重に進んでください。

    Cloud Governance Center を長期間使用しない場合、または Alibaba Cloud アカウントを削除する場合は、サービスロールを手動で削除する必要があります。

    サービスリンクロールがクラウドリソースによって使用されていない場合は、RAM コンソールでサービスリンクロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。

    AliyunServiceRoleForGovernanceSetup

    シナリオ

    このサービスロールは、リソースディレクトリのメンバーに対して作成されます。このロールは、以下のシナリオに適しています。

    • リソースディレクトリのメンバーに対して機能を設定する場合に、このロールが必要になります。たとえば、ログ配信監査機能を設定する場合、Cloud Governance Center はこのロールを使用して、必要な権限を持つ RAM ロールを作成する必要があります。RAM ロールは、機能に固有の操作を実行するために使用されます。

    • サービスロールを削除する場合、Cloud Governance Center はサービスロールを使用して、メンバーが属するリソースディレクトリをクエリし、サービスロールを削除できるかどうかを判断します。

    サービスロールの作成

    Cloud Governance Center がランディングゾーンを構築すると、システムは必要なメンバーに対してこのサービスロールを自動的に作成します。

    サービスロールの表示

    AliyunServiceRoleForGovernanceSetup サービスロールが作成された後、メンバーを使用して RAM コンソール にログインし、[ロール] ページで AliyunServiceRoleForGovernanceSetup を検索できます。ロールに関する以下の情報を表示できます。

    • 基本情報

      [基本情報] セクションでは、ロールに関する基本情報(名前、作成時間、Alibaba Cloud Resource Name (ARN)、説明など)を表示できます。

    • 権限ポリシー

      [権限] タブで、ポリシー名をクリックしてポリシードキュメントを表示できます。

      説明

      RAM コンソールの [ポリシー] ページでは、サービスロールにアタッチされている権限ポリシーを表示することはできません。権限ポリシーは、ロールの詳細ページでのみ表示できます。

    • 信頼ポリシー

      [信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシードキュメントを表示できます。信頼ポリシーとは、RAM ロールの信頼できるエンティティを含むポリシーです。信頼できるエンティティとは、RAM ロールを引き受けることができるエンティティを指します。サービスロールの信頼できるエンティティはクラウドサービスです。サービスロールの信頼ポリシーの Service フィールドの値を表示して、信頼できるエンティティを取得できます。

    サービスロールの削除

    重要

    サービスロールを削除すると、ロールに依存する機能は使用できなくなります。注意して進めてください。

    Cloud Governance Center を長期間使用しない場合、または Alibaba Cloud アカウントを削除する場合は、サービスロールを手動で削除する必要がある場合があります。

    メンバーからサービスロールを削除する前に、リソースディレクトリからメンバーを削除する必要があります。

    サービスロールがクラウドリソースによって使用されていない場合は、RAM コンソール でサービスロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。

    AliyunServiceRoleForGovernanceNetworkBlueprint

    シナリオ

    このサービスロールは、リソースディレクトリのメンバーに対して作成されます。このロールは、以下のシナリオに適しています。

    • リソースディレクトリのメンバーのネットワーク設定を構成する場合に、このロールが必要になります。たとえば、共有サービスアカウントの Cloud Enterprise Network (CEN) インスタンスを構成する場合、Cloud Governance Center はこのロールを使用して CEN をアクティブ化し、CEN インスタンスを作成し、ルーティングルールを構成する必要があります。

    • サービスロールを削除する場合、Cloud Governance Center はサービスロールを使用して、メンバーが属するリソースディレクトリをクエリし、サービスロールを削除できるかどうかを判断します。

    サービスロールの作成

    ネットワーク設定を初期化すると、Cloud Governance Center は必要なメンバー内にサービスロールを自動的に作成します。

    サービスロールの表示

    AliyunServiceRoleForGovernanceNetworkBlueprint サービスロールが作成された後、メンバーを使用して RAM コンソール にログインし、[ロール] ページで AliyunServiceRoleForGovernanceNetworkBlueprint を検索できます。ロールに関する以下の情報を表示できます。

    • 基本情報

      [基本情報] セクションでは、名前、作成時間、Alibaba Cloud Resource Name (ARN)、説明など、ロールに関する基本情報を表示できます。

    • 権限ポリシー

      [権限] タブで、ポリシー名をクリックしてポリシードキュメントを表示できます。

      説明

      RAM コンソールの [ポリシー] ページでは、サービスロールにアタッチされている権限ポリシーを表示することはできません。権限ポリシーは、ロールの詳細ページでのみ表示できます。

    • 信頼ポリシー

      [信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシードキュメントを表示できます。信頼ポリシーとは、RAM ロールの信頼できるエンティティを含むポリシーです。信頼できるエンティティとは、RAM ロールを引き受けることができるエンティティのことです。サービスロールの信頼できるエンティティはクラウドサービスです。信頼できるエンティティを取得するには、サービスロールの信頼ポリシーの Service フィールドの値を表示します。

    サービスロールの削除

    重要

    サービスロールを削除すると、ロールに依存する機能は使用できなくなります。注意して進めてください。

    長期間 Cloud Governance Center を使用しない場合、または Alibaba Cloud アカウントを削除する場合は、サービスロールを手動で削除する必要があります。

    メンバーからサービスロールを削除する前に、リソースディレクトリからメンバーを削除する必要があります。

    サービスロールがクラウドリソースによって使用されていない場合は、RAM コンソール でサービスロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。

    AliyunServiceRoleForGovernanceSetup

    シナリオ

    このサービスロールは、リソースディレクトリのメンバー用に作成されます。このロールは、以下のシナリオに適しています。

    • リソースディレクトリのメンバーの機能を設定する場合に、このロールが必要になります。たとえば、ログ配信監査機能を設定する場合、Cloud Governance Center は、このロールを使用して、必要な権限を持つ RAM ロールを作成する必要があります。RAM ロールは、機能に固有の操作を実行するために使用されます。

    • サービスロールを削除する場合、Cloud Governance Center は、サービスロールを使用して、メンバーが属するリソースディレクトリをクエリし、サービスロールを削除できるかどうかを判断します。

    サービスロールの作成

    Cloud Governance Center がランディングゾーンを構築すると、システムは必要なメンバーに対してこのサービスロールを自動的に作成します。

    サービスロールの表示

    AliyunServiceRoleForGovernanceCloudNativeBlueprint サービスリンクロールが作成されると、メンバーを使用して RAM コンソール にログインし、[ロール] ページで AliyunServiceRoleForGovernanceCloudNativeBlueprint を検索できます。ロールに関する以下の情報を表示できます。

    • 基本情報

      [基本情報] セクションでは、ロール名、作成時間、Alibaba Cloud Resource Name (ARN)、説明など、ロールに関する基本情報を表示できます。

    • 権限ポリシー

      [権限] タブで、ポリシー名をクリックすると、ポリシードキュメントを表示できます。

      説明

      RAM コンソールの [ポリシー] ページでは、サービスロールにアタッチされている権限ポリシーを表示することはできません。権限ポリシーは、ロールの詳細ページでのみ表示できます。

    • 信頼ポリシー

      [信頼ポリシー] タブで、ロールにアタッチされている信頼ポリシーのドキュメントを表示できます。信頼ポリシーとは、RAM ロールの信頼できるエンティティを含むポリシーです。信頼できるエンティティとは、RAM ロールを引き受けることができるエンティティを指します。サービスロールの信頼できるエンティティはクラウドサービスです。サービスロールの信頼ポリシーで Service フィールドの値を表示して、信頼できるエンティティを取得できます。

    サービスリンクロールを削除する

    重要

    サービスリンクロールが削除されると、そのロールに依存する機能は使用できなくなります。慎重に実行してください。

    Cloud Governance Center を長期間使用しない場合、または Alibaba Cloud アカウントを削除する場合は、サービスロールを手動で削除する必要があります。

    メンバーからサービスリンクロールを削除する前に、リソースディレクトリからメンバーを削除する必要があります。

    サービスロールがクラウドリソースによって使用されていない場合は、RAM コンソールでサービスロールを手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。