すべてのプロダクト
Search
ドキュメントセンター

:Cloud Backupのサービスにリンクされたロール

最終更新日:Jul 09, 2024

サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。 Elastic Compute service (ECS) 、Virtual Private Cloud (VPC) 、Object Storage Service (OSS) 、Apsara File Storage NAS (NAS) などのAlibaba Cloudサービスにアクセスするには、Cloud Backupが対応するサービスにリンクされた役割を引き受ける必要があります。 Cloud Backupは、バックアップ機能を有効にするか、バックアップ計画を作成するか、バックアップポリシーをデータソースに関連付けると、サービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールの自動作成に失敗した場合、またはCloud Backupが自動作成をサポートしていない場合は、サービスにリンクされたロールを手動で作成する必要があります。

RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 システムポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。 詳細については、「システムポリシー」をご参照ください。

シナリオ

Cloud Backupは、次のシナリオでサービスにリンクされたロールを自動的に作成します。

重要

Cloud Backupは、バックアップ機能を有効にするか、バックアップ計画を作成するか、バックアップポリシーをデータソースに関連付けると、サービスにリンクされたロールを自動的に作成します。

  • AliyunServiceRoleForHbrEcsBackup

    ECSバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrEcsBackupという名前のサービスにリンクされたロールを作成し、ECSおよびVPCリソースへのアクセス許可を取得します。

  • AliyunServiceRoleForHbrOssBackup

    OSSバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrOssBackupという名前のサービスにリンクされたロールを作成し、OSSリソースへのアクセス許可を取得します。

  • AliyunServiceRoleForHbrNasBackup

    NASバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrNasBackupという名前のサービスにリンクされたロールを作成し、NASリソースへのアクセス許可を取得します。

  • AliyunServiceRoleForHbrCsgBackup

    Cloud Storage Gateway (CSG) バックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrCsgBackupという名前のサービスにリンクされたロールを作成し、CSGリソースへのアクセス許可を取得します。

  • AliyunServiceRoleForHbrVaultEncryption

    Key Management Service (KMS) キーを使用してバックアップボールトを暗号化すると、Cloud Backupは自動的にAliyunServiceRoleForHbrVaultEncryptionという名前のサービスにリンクされたロールを作成し、KMSリソースへのアクセス許可を取得します。

  • AliyunServiceRoleForHbrOtsBackup

    Tablestoreバックアップ機能を使用すると、Cloud Backupは自動的にAliyunServiceRoleForHbrOtsBackupという名前のサービスにリンクされたロールを作成し、Tablestoreリソースへのアクセス許可を取得します。

  • AliyunServiceRoleForHbrCrossAccountBackup

    クロスアカウントバックアップ機能を使用すると、Cloud BackupはAliyunServiceRoleForHbrCrossAccountBackupという名前のサービスにリンクされたロールを自動的に作成し、他のクラウドサービスのリソースにアクセスするためのアクセス許可を取得します。

  • AliyunServiceRoleForHbrEcsEncryption

    ECSインスタンスのバックアップ時にクロスリージョンレプリケーション機能を有効にする場合は、KMSキーを指定する必要があります。 この場合、Cloud Backupは自動的にAliyunServiceRoleForHbrEcsEncryptionという名前のサービスにリンクされたロールを作成し、KMSのリソースにアクセスするためのアクセス許可を取得します。

権限

このセクションでは、Cloud Backupのサービスにリンクされた各ロールに付与される権限について説明します。

  • AliyunServiceRoleForHbrEcsBackup: ECSへのアクセス許可

     {
          "Action": [
            "ecs:RunCommand" 、
            "ecs:CreateCommand",
            "ecs:InvokeCommand",
            "ecs:DeleteCommand",
            "ecs:DescribeCommands",
            "ecs:StopInvocation",
            "ecs:DescribeInvocationResults",
            "ecs:DescribeCloudAssistantStatus",
            "ecs:DescribeInstances",
            "ecs:DescribeInstanceRamRole" 、
            「ecs:DescribeInvocations」
          ],
          "Resource": "*",
          "Effect": "Allow"
        },
        {
          "Action": [
            "ecs:AttachInstanceRamRole" 、
            "ecs:DetachInstanceRamRole"
          ],
          "Resource": [
            "acs:ecs:*:*:instance/*" 、
            "acs:ram:*:*:role /aliyunecsaccesssinghbrrole"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "ram:GetRole" 、
            "ram:GetPolicy",
            "ram:ListPoliciesForRole"
          ],
          "Resource": "*",
          "Effect": "Allow"
        },
        {
          "Action": [
            "ram:PassRole"
          ],
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "acs: サービス": [
                "ecs.aliyuncs.com"
              ]
            }
          }
        },
        {
          "Action": [
            "ecs:DescribeSecurityGroups",
            "ecs:DescribeImages",
            "ecs:CreateImage" 、
            "ecs:DeleteImage" 、
            "ecs:DescribeSnapshots",
            "ecs:CreateSnapshot",
            "ecs:DeleteSnapshot" 、
            "ecs:DescribeSnapshotLinks",
            "ecs: DescribeResourcesModification"、
            "ecs:ModifyInstanceAttribute",
            "ecs:CreateInstance",
            "ecs:DeleteInstance",
            "ecs:AllocatePublicIpAddress",
            "ecs:CreateDisk" 、
            "ecs:DescribeDisks",
            "ecs:AttachDisk",
            "ecs:DetachDisk",
            "ecs:DeleteDisk",
            "ecs:ResetDisk" 、
            "ecs:StartInstance",
            "ecs:StopInstance",
            "ecs:ReplaceSystemDisk",
            "ecs:ModifyResourceMeta"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
    

  • AliyunServiceRoleForHbrEcsBackup: VPCへのアクセス権限

    {
          "Action": [
            "vpc:DescribeVpcs",
            "vpc:DescribeVSwitches"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }

  • AliyunServiceRoleForHbrOssBackup: OSSへのアクセス許可

    {
          "Action": [
            "oss:ListObjects",
            "oss:HeadBucket" 、
            "oss:GetBucket" 、
            "oss:GetBucketAcl",
            "oss:GetBucketLocation",
            "oss:GetBucketInfo",
            "OSS:のputObject"、
            "oss:CopyObject" 、
            "oss:GetObject"、
            "oss:AppendObject" 、
            "oss:GetObjectMeta" 、
            "oss:PutObjectACL" 、
            "oss:GetObjectACL" 、
            "oss:PutObjectTagging" 、
            "oss:GetObjectTagging" 、
            "oss:InitiateMultipartUpload" 、
            "oss:UploadPart" 、
            "oss:UploadPartCopy" 、
            "oss:CompleteMultipartUpload" 、
            "OSS:AbortMultipartUpload"、
            "oss:ListMultipartUploads",
            "oss:ListParts"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }

  • AliyunServiceRoleForHbrNasBackup: NASへのアクセス許可

    {
          "Action": [
            "nas:DescribeFileSystems" 、
            "nas:CreateMountTargetSpecial" 、
            "nas:DeleteMountTargetSpecial" 、
            "nas:CreateMountTarget" 、
            "nas:DeleteMountTarget" 、
            "nas:DescribeMountTargets" 、
            "nas:DescribeAccessGroups"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }

  • AliyunServiceRoleForHbrCsgBackup: CSGにアクセスするためのアクセス許可

    {
          "Action": [
            "hcs-sgw:DescribeGateways"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
  • AliyunServiceRoleForHbrVaultEncryption: バックアップコンテナーのKMSベースの暗号化を有効にする権限

    {
     "Statement": [
     {
      "アクション": "ram:DeleteServiceLinkedRole" 、
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
       "StringEquals": {
        "ram:ServiceName": "vaultencryption.hbr.aliyuncs.com"
       }
      }
     },
     {
      "Action": [
      "kms:Decrypt"
      ],
      "Resource": "*",
      "Effect": "Allow"
     }
     ],
     "バージョン": "1"
    
    } 

  • AliyunServiceRoleForHbrOtsBackup: Tablestoreへのアクセス許可

    {
      "Version": "1",
      "Statement": [
        {
          "アクション": "ram:DeleteServiceLinkedRole" 、
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "otsbackup.hbr.aliyuncs.com"
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "ots:ListTable",
            "ots:CreateTable" 、
            "ots:UpdateTable" 、
            "ots:DescribeTable",
            "ots:BatchWriteRow",
            "ots:CreateTunnel" 、
            "ots:DeleteTunnel" 、
            "ots:ListTunnel" 、
            "ots:DescribeTunnel" 、
            "ots:ConsumeTunnel" 、
            "ots:GetRange",
            "ots:ListStream" 、
            "ots:DescribeStream"
          ],
          "Resource": "*"
        }
      ]
    }
  • AliyunServiceRoleForHbrCrossAccountBackup: クロスアカウントバックアップを実行するための権限

    {
      "Version": "1",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Effect": "Allow",
          "Resource": "*"
        },
        {
          "アクション": "ram:DeleteServiceLinkedRole" 、
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "crossbackup.hbr.aliyuncs.com"
            }
          }
        }
      ]
    }
  • AliyunServiceRoleForHbrEcsEncryption: クロスリージョンレプリケーションでKMSベースの暗号化を有効にするための権限

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "kms:ListKeys",
            「kms:ListAliases」
          ],
          "Effect": "Allow",
          "Resource": "*"
        },
        {
          "アクション": "ram:DeleteServiceLinkedRole" 、
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "ecsencryption.hbr.aliyuncs.com"
            }
          }
        }
      ]
    }

サービスにリンクされたロールを削除する

セキュリティを確保するために、サービスにリンクされたロールを削除する必要があります。 たとえば、ECSバックアップ機能を使用する必要がなくなった場合は、AliyunServiceRoleForHbrEcsBackupロールを削除できます。

重要

  • AliyunServiceRoleForHbrEcsBackup、AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup、またはAliyunServiceRoleForHbrNasBackupロールを削除する前に、現在のアカウント内にバックアップコンテナーが存在しないことを確認してください。 それ以外の場合、ロールは削除されません。

  • AliyunServiceRoleForHbrVaultEncryptionロールを削除する前に、現在のアカウント内にKMS暗号化バックアップコンテナーが存在しないことを確認してください。 それ以外の場合、ロールは削除されません。

AliyunServiceRoleForHbrEcsBackupロールを削除するには、次の手順を実行します。

  1. RAM コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ロール] を選択します。

  3. [ロール] ページで、検索ボックスにAliyunServiceRoleForHbrEcsBackupと入力してロールを検索します。

  4. [操作] 列の [ロールの削除] をクリックします。

  5. [ロールの削除] メッセージで、ロール名を入力し、[ロールの削除] をクリックします。

AliyunServiceRoleForHbrOssBackup、AliyunServiceRoleForHbrNasBackup、AliyunServiceRoleHbrCsgBackup、AliyunServiceRoleForHbrVaultEncryption、AliyunServiceRoleForHbrEcsEncryptionなど、サービスにリンクされた他のロールを削除する場合は、検索ボックスに対応するロールを入力します。