サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。 Elastic Compute service (ECS) 、Virtual Private Cloud (VPC) 、Object Storage Service (OSS) 、Apsara File Storage NAS (NAS) などのAlibaba Cloudサービスにアクセスするには、Cloud Backupが対応するサービスにリンクされた役割を引き受ける必要があります。 Cloud Backupは、バックアップ機能を有効にするか、バックアップ計画を作成するか、バックアップポリシーをデータソースに関連付けると、サービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールの自動作成に失敗した場合、またはCloud Backupが自動作成をサポートしていない場合は、サービスにリンクされたロールを手動で作成する必要があります。
RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 システムポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。 詳細については、「システムポリシー」をご参照ください。
シナリオ
Cloud Backupは、次のシナリオでサービスにリンクされたロールを自動的に作成します。
Cloud Backupは、バックアップ機能を有効にするか、バックアップ計画を作成するか、バックアップポリシーをデータソースに関連付けると、サービスにリンクされたロールを自動的に作成します。
AliyunServiceRoleForHbrEcsBackup
ECSバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrEcsBackupという名前のサービスにリンクされたロールを作成し、ECSおよびVPCリソースへのアクセス許可を取得します。
AliyunServiceRoleForHbrOssBackup
OSSバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrOssBackupという名前のサービスにリンクされたロールを作成し、OSSリソースへのアクセス許可を取得します。
AliyunServiceRoleForHbrNasBackup
NASバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrNasBackupという名前のサービスにリンクされたロールを作成し、NASリソースへのアクセス許可を取得します。
AliyunServiceRoleForHbrCsgBackup
Cloud Storage Gateway (CSG) バックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrCsgBackupという名前のサービスにリンクされたロールを作成し、CSGリソースへのアクセス許可を取得します。
AliyunServiceRoleForHbrVaultEncryption
Key Management Service (KMS) キーを使用してバックアップボールトを暗号化すると、Cloud Backupは自動的にAliyunServiceRoleForHbrVaultEncryptionという名前のサービスにリンクされたロールを作成し、KMSリソースへのアクセス許可を取得します。
AliyunServiceRoleForHbrOtsBackup
Tablestoreバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrOtsBackupという名前のサービスにリンクされたロールを作成し、Tablestoreリソースへのアクセス許可を取得します。
AliyunServiceRoleForHbrCrossAccountBackup
クロスアカウントバックアップ機能を使用すると、Cloud BackupはAliyunServiceRoleForHbrCrossAccountBackupという名前のサービスにリンクされたロールを自動的に作成し、他のクラウドサービスのリソースにアクセスするためのアクセス許可を取得します。
AliyunServiceRoleForHbrEcsEncryption
ECSインスタンスのバックアップ時にクロスリージョンレプリケーション機能を有効にする場合は、KMSキーを指定する必要があります。 この場合、Cloud Backupは自動的にAliyunServiceRoleForHbrEcsEncryptionという名前のサービスにリンクされたロールを作成し、KMSのリソースにアクセスするためのアクセス許可を取得します。
権限
このセクションでは、Cloud Backupのサービスにリンクされた各ロールに付与される権限について説明します。
サービスにリンクされたロールを削除する
セキュリティを確保するために、サービスにリンクされたロールを削除する必要があります。 たとえば、ECSバックアップ機能を使用する必要がなくなった場合は、AliyunServiceRoleForHbrEcsBackupロールを削除できます。
AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup、またはAliyunServiceRoleForHbrNasBackupロールを削除する前に、現在のアカウント内にバックアップコンテナーが存在しないことを確認してください。 それ以外の場合、ロールは削除されません。
AliyunServiceRoleForHbrVaultEncryptionロールを削除する前に、現在のアカウント内にKMS暗号化バックアップコンテナーが存在しないことを確認してください。 それ以外の場合、ロールは削除されません。
AliyunServiceRoleForHbrEcsBackupロールを削除するには、次の手順を実行します。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[アイデンティティ] > [ロール] を選択します。
[ロール] ページで、検索ボックスにAliyunServiceRoleForHbrEcsBackupと入力してロールを検索します。
[操作] 列の [ロールの削除] をクリックします。
[ロールの削除] メッセージで、ロール名を入力し、[ロールの削除] をクリックします。
AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup、AliyunServiceRoleHbrCsgBackup、AliyunServiceRoleForHbrVaultEncryption、AliyunServiceRoleForHbrEcsEncryptionなど、サービスにリンクされた他のロールを削除する場合は、検索ボックスに対応するロールを入力します。