すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:Cloud Firewallに他のクラウドリソースへのアクセスを許可する

最終更新日:Jul 08, 2024

Cloud Firewallコンソールに初めてログインするときは、Cloud Firewallの機能を使用する前に、Cloud Firewallにアカウント内の他のクラウドリソースへのアクセスを許可する必要があります。 このトピックでは、AliyunServiceRoleForCloudFWサービスにリンクされたロールを使用してCloud Firewallに他のクラウドリソースへのアクセスを許可する方法と、ロールを削除する方法について説明します。

前提条件

サービスにリンクされたロールを作成または削除する権限を持つAlibaba CloudアカウントまたはRAM (Resource Access Management) ユーザーが使用されます。 サービスにリンクされたロールに対する権限をRAMユーザーに付与する方法については、「FAQ」をご参照ください。

背景情報

クラウドトラフィックのアクセス制御、モニタリング、分析などの機能を提供するには、Cloud Firewallアカウント内の他のクラウドリソースにアクセスする必要があります。Elastic Compute Service(ECS) インスタンス、Virtual Private Cloud(VPC) 、Server Load Balancer(SLB) インスタンス、Simple Log Service,Bastionhost,Cloud Enterprise Network(CEN) インスタンス、Security Center、およびApsaraDB RDSインスタンス. AliyunServiceRoleForCloudFWサービスにリンクされたロールを使用して、Cloud Firewallにこれらのリソースへのアクセスを許可できます。 このロールは自動的に作成されます。 詳細については、「サービスにリンクされたロール」をご参照ください。

手順

  1. Cloud Firewallコンソールにログインします。

  2. では、Cloud Firewallのサービスにリンクされたロールダイアログボックスで、OK.

    説明

    AliyunServiceRoleForCloudFWサービスにリンクされたロールが作成されている場合、ダイアログボックスは表示されず、コンソールでCloud Firewallを直接使用できます。

    云防火墙服务关联角色

    その後、Alibaba CloudはAliyunServiceRoleForCloudFWサービスにリンクされたロールを自動的に作成します。

    RAMコンソール[ロール] ページで、サービスにリンクされたロールを表示できます。 Cloud Firewallは、AliyunServiceRoleForCloudFWサービスにリンクされたロールが作成された後にのみ、アカウント内の他のクラウドリソースにアクセスできます。

AliyunServiceRoleForCloudFWサービスにリンクされたロールの権限

デフォルトでは、AliyunServiceRoleForCloudFWサービスにリンクされたロールはAliyunServiceRolePolicyForCloudFWポリシーにアタッチされます。 次のコードブロックは、AliyunServiceRolePolicyForCloudFWポリシーで定義されている権限を提供します。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:DescribeInstances",
                "ecs:DescribeTags" 、
                "ecs:JoinSecurityGroup",
                "ecs:LeaveSecurityGroup" 、
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:DescribeRegions",
                "ecs:DescribeVpcs" 、
                "ecs:RevokeSecurityGroupEgress" 、
                "ecs:ModifySecurityGroupAttribute" 、
                "ecs:DeleteSecurityGroup",
                "ecs:RevokeSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:CreateSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupReferences" 、
                "ecs:ModifySecurityGroupPolicy" 、
                "ecs:ModifySecurityGroupRule" 、
                "ecs:ModifySecurityGroupEgressRule" 、
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs: DescribeNetworkInterfaces"、
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface" 、
                "ecs:DescribePrefixLists" 、
                "ecs:ListTagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeNatGateways" 、
                "vpc:DescribeSnatTableEntries" 、
                "vpc:DescribeForwardTableEntries" 、
                "vpc:DescribeBandwidthPackages" 、
                "vpc:GetNatGatewayAttribute" 、
                "vpc:ModifyNatGatewayAttribute" 、
                "vpc:DescribeEipAddresses" 、
                "vpc:DescribeRouterInterfaces",
                "vpc:DescribeRouteTableList" 、
                "vpc:DescribeRouteTables" 、
                "vpc:DescribeVSwitches",
                "vpc:CreateRouteEntry" 、
                "vpc:DeleteRouteEntry" 、
                "vpc:CreateVpc" 、
                "vpc:DeleteVpc" 、
                "vpc:CreateVSwitch" 、
                "vpc:DeleteVSwitch" 、
                "vpc:DescribeZones" 、
                "vpc:CreateVirtualBorderRouter" 、
                "vpc:ConnectRouterInterface" 、
                "vpc:ModifyRouterInterfaceAttribute" 、
                "vpc:DeleteRouterInterface" 、
                "vpc:CreateRouterInterface" 、
                "vpc:DeleteVirtualBorderRouter" 、
                "vpc:DeactivateRouterInterface" 、
                "vpc:DescribeVirtualBorderRouters" 、
                "vpc:DescribePhysicalConnections",
                "vpc:ModifyVirtualBorderRouterAttribute" 、
                "vpc:DescribeVpcAttribute" 、
                "vpc:DescribeVSwitchAttributes" 、
                "vpc:DescribeHaVips" 、
                "vpc:DescribeVpnConnections" 、
                "vpc:DescribeVpnRouteEntries" 、
                "vpc:DescribeVpnPbrRouteEntries" 、
                "vpc:DescribeVpnGateways",
                "vpc:DescribeSslVpnServers" 、
                "vpc: AssociateEipAddress"、
                "vpc: UnassociateEipAddress"、
                "vpc:CreateRouteTable" 、
                "vpc:DeleteRouteTable" 、
                "vpc:AssociateRouteTable" 、
                "vpc:UnassociateRouteTable" 、
                "vpc:CreateSnatEntry" 、
                "vpc:DeleteSnatEntry" 、
                "vpc:DescribeSnatTableEntries" 、
                "vpc:DescribeRouteEntryList" 、
                "vpc:DescribeIpv6Address" 、
                "vpc:ListVpcPeerConnections" 、
                "vpc:CreateRouteEntries" 、
                "vpc:DeleteRouteEntries"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "slb:DescribeRegions" 、
                "slb:DescribeLoadBalancers" 、
                "slb:DescribeLoadBalancerAttribute",
                "slb:DescribeLoadBalancerUDPListenerAttribute" 、
                "slb:DescribeLoadBalancerTCPListenerAttribute" 、
                "slb:DescribeLoadBalancerHTTPListenerAttribute" 、
                "slb:DescribeLoadBalancerHTTPSListenerAttribute" 、
                "slb:DescribeHealthStatus",
                "slb:DescribeAccessControlListAttribute"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "alb:DescribeRegions" 、
                "alb:ListLoadBalancers" 、
                "alb:GetLoadBalancerAttribute" 、
                "alb: リスナー" 、
                "alb:GetListenerAttribute" 、
                "alb:GetListenerHealthStatus" 、
                "alb:ListAcls" 、
                "alb:ListAclEntries"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "nlb:DescribeRegions" 、
                "nlb:ListLoadBalancers" 、
                "nlb:GetLoadBalancerAttribute" 、
                "nlb: リスナー" 、
                "nlb:GetListenerAttribute" 、
                「nlb:GetListenerHealthStatus」
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs"、
                "log:GetProject",
                "log:ListProject",
                "log:GetLogStore",
                "log:ListLogStores",
                "log:GetLogStore"
                "log:CreateProject",
                "log:GetIndex" 、
                "log:CreateIndex",
                "log:UpdateIndex" 、
                "log:CreateDashboard",
                "ログ: ClearLogStoreStorage" 、
                "log:UpdateLogStore" 、
                "log:UpdateDashboard" 、
                "log:CreateSavedSearch" 、
                "log:UpdateSavedSearch" 、
                "log:DeleteLogStore" 、
                "ログ: DeleteSavedSearch" 、
                "ログ: GetSavedSearch" 、
                "log:ListSavedSearch" 、
                "log:DeleteDashboard" 、
                "log:GetDashboard" 、
                "log:ListDashboard"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "yundun-bastionhost:DescribeInstance" 、
                "yundun-bastionhost:DescribeRegions" 、
                "yundun-bastionhost:DescribeInstances" 、
                "yundun-bastionhost:DescribeInstanceBastionhost" 、
                "yundun-bastionhost:DescribeInstanceAttribute"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "cen:DescribeCens" 、
                "cen:DescribeCenAttachedChildInstances" 、
                "cen:DescribeCenAttachedChildInstanceAttribute" 、
                "cen:AttachCenChildInstance" 、
                "cen:DetachCenChildInstance" 、
                "cen:PublishRouteEntries" 、
                "cen:WithdrawPublishedRouteEntries" 、
                "cen:DescribePublishedRouteEntries" 、
                "cen:DescribeCenRegionDomainRouteEntries" 、
                "cen:ModifyCenAttribute" 、
                "cen:CreateCenRouteMap" 、
                "cen:DeleteCenRouteMap" 、
                "cen:ModifyCenRouteMap" 、
                "cen:DescribeCenRouteMaps" 、
                "cen:DescribeCenChildInstanceRouteEntries" 、
                "cen:CreateCenChildInstanceRouteEntryToCen" 、
                "cen:DeleteCenChildInstanceRouteEntryToCen" 、
                "cen:ListTransitRouters" 、
                "cen:CreateTransitRouter" 、
                "cen:DeleteTransitRouter" 、
                "cen:ListTransitRouterAttachments" 、
                "cen:CreateTransitRouterVpcAttachment" 、
                "cen:DeleteTransitRouterVpcAttachment" 、
                "cen:UpdateTransitRouterVpcAttachmentAttribute" 、
                "cen:UpdateTransitRouterPeerAttachmentAttribute" 、
                "cen:CreateTransitRouterVbrAttachment" 、
                "cen:DeleteTransitRouterVbrAttachment" 、
                "cen:ListTransitRouterPeerAttachments" 、
                "cen:ListTransitRouterVpcAttachments" 、
                "cen: ListTransitRouterVbrachments" 、
                "cen:ListTransitRouterAvailableResource" 、
                "cen:CreateTransitRouterRouteTable" 、
                "cen:UpdateTransitRouterRouteTable" 、
                "cen:DeleteTransitRouterRouteTable" 、
                "cen:ListTransitRouterRouteTables" 、
                "cen:CreateTransitRouterRouteEntry" 、
                "cen:DeleteTransitRouterRouteEntry" 、
                "cen:ListTransitRouterRouteEntries" 、
                "cen:ListTransitRouterRouteTableAssociations" 、
                "cen:AssociateTransitRouterAttachmentWithRouteTable" 、
                "cen:DissociateTransitRouterAttachmentFromRouteTable" 、
                "cen:ListTransitRouterRouteTablePropagations" 、
                "cen:EnableTransitRouterRouteTablePropagation" 、
                "cen:DisableTransitRouterRouteTablePropagation" 、
                "cen:ModifyCenUserQuota" 、
                "cen:ReplaceTransitRouterRouteTableAssociation" 、
                "cen:CheckTransitRouterService" 、
                "cen:ListTransitRouterPrefixListAssociation"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "netana:DescribeNetworkQuotas" 、
                "netana:DescribeNetworkQuotaRequestResult" 、
                "netana:CreateNetworkQuotaRequest"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "yundun-sas:DescribeVulList" 、
                「yundun-sas:DescribeVulDetails」
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "rds:DescribeDBInstances"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "アクション": "ram:CreateServiceLinkedRole" 、
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "cen.aliyuncs.com"
                }
            }
        },
        {
            "Action": [
                "resourcemanager:ListAccounts"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "アクション": "ram:DeleteServiceLinkedRole" 、
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "cloudfw.aliyuncs.com"
                }
            }
        }
    ]
}

詳細については、「ポリシー要素」をご参照ください。

サービスにリンクされたロールを削除する

Cloud Firewallが不要になった場合は、AliyunServiceRoleForCloudFWサービスにリンクされたロールを削除できます。 サービスにリンクされたロールを削除する前に、Cloud Firewallの有効期限が切れ、自動的にリリースされることを確認してください。 詳細については、「RAMロールの削除」をご参照ください。

よくある質問

AliyunServiceRoleForCloudFWサービスにリンクされたロールがRAMユーザーに対して自動的に作成されないのはなぜですか。

AliyunServiceRoleForCloudFWサービスにリンクされたロールは、RAMユーザーに必要な権限がある場合にのみ自動的に作成または削除できます。 権限を取得するには、次のポリシーをRAMユーザーにアタッチします。 詳細については、「RAMユーザーへの権限の付与」をご参照ください。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID of an Alibaba Cloud account:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "cloudfw.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}