Cloud Firewallコンソールに初めてログインするときは、Cloud Firewallの機能を使用する前に、Cloud Firewallにアカウント内の他のクラウドリソースへのアクセスを許可する必要があります。 このトピックでは、AliyunServiceRoleForCloudFWサービスにリンクされたロールを使用してCloud Firewallに他のクラウドリソースへのアクセスを許可する方法と、ロールを削除する方法について説明します。
前提条件
サービスにリンクされたロールを作成または削除する権限を持つAlibaba CloudアカウントまたはRAM (Resource Access Management) ユーザーが使用されます。 サービスにリンクされたロールに対する権限をRAMユーザーに付与する方法については、「FAQ」をご参照ください。
背景情報
クラウドトラフィックのアクセス制御、モニタリング、分析などの機能を提供するには、Cloud Firewallアカウント内の他のクラウドリソースにアクセスする必要があります。Elastic Compute Service(ECS) インスタンス、Virtual Private Cloud(VPC) 、Server Load Balancer(SLB) インスタンス、Simple Log Service,Bastionhost,Cloud Enterprise Network(CEN) インスタンス、Security Center、およびApsaraDB RDSインスタンス. AliyunServiceRoleForCloudFWサービスにリンクされたロールを使用して、Cloud Firewallにこれらのリソースへのアクセスを許可できます。 このロールは自動的に作成されます。 詳細については、「サービスにリンクされたロール」をご参照ください。
手順
Cloud Firewallコンソールにログインします。
では、Cloud Firewallのサービスにリンクされたロールダイアログボックスで、OK.
説明AliyunServiceRoleForCloudFWサービスにリンクされたロールが作成されている場合、ダイアログボックスは表示されず、コンソールでCloud Firewallを直接使用できます。
その後、Alibaba CloudはAliyunServiceRoleForCloudFWサービスにリンクされたロールを自動的に作成します。
RAMコンソールの [ロール] ページで、サービスにリンクされたロールを表示できます。 Cloud Firewallは、AliyunServiceRoleForCloudFWサービスにリンクされたロールが作成された後にのみ、アカウント内の他のクラウドリソースにアクセスできます。
AliyunServiceRoleForCloudFWサービスにリンクされたロールの権限
デフォルトでは、AliyunServiceRoleForCloudFWサービスにリンクされたロールはAliyunServiceRolePolicyForCloudFWポリシーにアタッチされます。 次のコードブロックは、AliyunServiceRolePolicyForCloudFWポリシーで定義されている権限を提供します。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTags" 、
"ecs:JoinSecurityGroup",
"ecs:LeaveSecurityGroup" 、
"ecs:AuthorizeSecurityGroupEgress",
"ecs:DescribeRegions",
"ecs:DescribeVpcs" 、
"ecs:RevokeSecurityGroupEgress" 、
"ecs:ModifySecurityGroupAttribute" 、
"ecs:DeleteSecurityGroup",
"ecs:RevokeSecurityGroup",
"ecs:DescribeSecurityGroupAttribute",
"ecs:CreateSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:DescribeSecurityGroups",
"ecs:DescribeSecurityGroupReferences" 、
"ecs:ModifySecurityGroupPolicy" 、
"ecs:ModifySecurityGroupRule" 、
"ecs:ModifySecurityGroupEgressRule" 、
"ecs:CreateNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs: DescribeNetworkInterfaces"、
"ecs:DescribeNetworkInterfacePermissions",
"ecs:DeleteNetworkInterfacePermission",
"ecs:AttachNetworkInterface",
"ecs:DetachNetworkInterface" 、
"ecs:DescribePrefixLists" 、
"ecs:ListTagResources"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeNatGateways" 、
"vpc:DescribeSnatTableEntries" 、
"vpc:DescribeForwardTableEntries" 、
"vpc:DescribeBandwidthPackages" 、
"vpc:GetNatGatewayAttribute" 、
"vpc:ModifyNatGatewayAttribute" 、
"vpc:DescribeEipAddresses" 、
"vpc:DescribeRouterInterfaces",
"vpc:DescribeRouteTableList" 、
"vpc:DescribeRouteTables" 、
"vpc:DescribeVSwitches",
"vpc:CreateRouteEntry" 、
"vpc:DeleteRouteEntry" 、
"vpc:CreateVpc" 、
"vpc:DeleteVpc" 、
"vpc:CreateVSwitch" 、
"vpc:DeleteVSwitch" 、
"vpc:DescribeZones" 、
"vpc:CreateVirtualBorderRouter" 、
"vpc:ConnectRouterInterface" 、
"vpc:ModifyRouterInterfaceAttribute" 、
"vpc:DeleteRouterInterface" 、
"vpc:CreateRouterInterface" 、
"vpc:DeleteVirtualBorderRouter" 、
"vpc:DeactivateRouterInterface" 、
"vpc:DescribeVirtualBorderRouters" 、
"vpc:DescribePhysicalConnections",
"vpc:ModifyVirtualBorderRouterAttribute" 、
"vpc:DescribeVpcAttribute" 、
"vpc:DescribeVSwitchAttributes" 、
"vpc:DescribeHaVips" 、
"vpc:DescribeVpnConnections" 、
"vpc:DescribeVpnRouteEntries" 、
"vpc:DescribeVpnPbrRouteEntries" 、
"vpc:DescribeVpnGateways",
"vpc:DescribeSslVpnServers" 、
"vpc: AssociateEipAddress"、
"vpc: UnassociateEipAddress"、
"vpc:CreateRouteTable" 、
"vpc:DeleteRouteTable" 、
"vpc:AssociateRouteTable" 、
"vpc:UnassociateRouteTable" 、
"vpc:CreateSnatEntry" 、
"vpc:DeleteSnatEntry" 、
"vpc:DescribeSnatTableEntries" 、
"vpc:DescribeRouteEntryList" 、
"vpc:DescribeIpv6Address" 、
"vpc:ListVpcPeerConnections" 、
"vpc:CreateRouteEntries" 、
"vpc:DeleteRouteEntries"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"slb:DescribeRegions" 、
"slb:DescribeLoadBalancers" 、
"slb:DescribeLoadBalancerAttribute",
"slb:DescribeLoadBalancerUDPListenerAttribute" 、
"slb:DescribeLoadBalancerTCPListenerAttribute" 、
"slb:DescribeLoadBalancerHTTPListenerAttribute" 、
"slb:DescribeLoadBalancerHTTPSListenerAttribute" 、
"slb:DescribeHealthStatus",
"slb:DescribeAccessControlListAttribute"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"alb:DescribeRegions" 、
"alb:ListLoadBalancers" 、
"alb:GetLoadBalancerAttribute" 、
"alb: リスナー" 、
"alb:GetListenerAttribute" 、
"alb:GetListenerHealthStatus" 、
"alb:ListAcls" 、
"alb:ListAclEntries"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"nlb:DescribeRegions" 、
"nlb:ListLoadBalancers" 、
"nlb:GetLoadBalancerAttribute" 、
"nlb: リスナー" 、
"nlb:GetListenerAttribute" 、
「nlb:GetListenerHealthStatus」
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:PostLogStoreLogs"、
"log:GetProject",
"log:ListProject",
"log:GetLogStore",
"log:ListLogStores",
"log:GetLogStore"
"log:CreateProject",
"log:GetIndex" 、
"log:CreateIndex",
"log:UpdateIndex" 、
"log:CreateDashboard",
"ログ: ClearLogStoreStorage" 、
"log:UpdateLogStore" 、
"log:UpdateDashboard" 、
"log:CreateSavedSearch" 、
"log:UpdateSavedSearch" 、
"log:DeleteLogStore" 、
"ログ: DeleteSavedSearch" 、
"ログ: GetSavedSearch" 、
"log:ListSavedSearch" 、
"log:DeleteDashboard" 、
"log:GetDashboard" 、
"log:ListDashboard"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"yundun-bastionhost:DescribeInstance" 、
"yundun-bastionhost:DescribeRegions" 、
"yundun-bastionhost:DescribeInstances" 、
"yundun-bastionhost:DescribeInstanceBastionhost" 、
"yundun-bastionhost:DescribeInstanceAttribute"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cen:DescribeCens" 、
"cen:DescribeCenAttachedChildInstances" 、
"cen:DescribeCenAttachedChildInstanceAttribute" 、
"cen:AttachCenChildInstance" 、
"cen:DetachCenChildInstance" 、
"cen:PublishRouteEntries" 、
"cen:WithdrawPublishedRouteEntries" 、
"cen:DescribePublishedRouteEntries" 、
"cen:DescribeCenRegionDomainRouteEntries" 、
"cen:ModifyCenAttribute" 、
"cen:CreateCenRouteMap" 、
"cen:DeleteCenRouteMap" 、
"cen:ModifyCenRouteMap" 、
"cen:DescribeCenRouteMaps" 、
"cen:DescribeCenChildInstanceRouteEntries" 、
"cen:CreateCenChildInstanceRouteEntryToCen" 、
"cen:DeleteCenChildInstanceRouteEntryToCen" 、
"cen:ListTransitRouters" 、
"cen:CreateTransitRouter" 、
"cen:DeleteTransitRouter" 、
"cen:ListTransitRouterAttachments" 、
"cen:CreateTransitRouterVpcAttachment" 、
"cen:DeleteTransitRouterVpcAttachment" 、
"cen:UpdateTransitRouterVpcAttachmentAttribute" 、
"cen:UpdateTransitRouterPeerAttachmentAttribute" 、
"cen:CreateTransitRouterVbrAttachment" 、
"cen:DeleteTransitRouterVbrAttachment" 、
"cen:ListTransitRouterPeerAttachments" 、
"cen:ListTransitRouterVpcAttachments" 、
"cen: ListTransitRouterVbrachments" 、
"cen:ListTransitRouterAvailableResource" 、
"cen:CreateTransitRouterRouteTable" 、
"cen:UpdateTransitRouterRouteTable" 、
"cen:DeleteTransitRouterRouteTable" 、
"cen:ListTransitRouterRouteTables" 、
"cen:CreateTransitRouterRouteEntry" 、
"cen:DeleteTransitRouterRouteEntry" 、
"cen:ListTransitRouterRouteEntries" 、
"cen:ListTransitRouterRouteTableAssociations" 、
"cen:AssociateTransitRouterAttachmentWithRouteTable" 、
"cen:DissociateTransitRouterAttachmentFromRouteTable" 、
"cen:ListTransitRouterRouteTablePropagations" 、
"cen:EnableTransitRouterRouteTablePropagation" 、
"cen:DisableTransitRouterRouteTablePropagation" 、
"cen:ModifyCenUserQuota" 、
"cen:ReplaceTransitRouterRouteTableAssociation" 、
"cen:CheckTransitRouterService" 、
"cen:ListTransitRouterPrefixListAssociation"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"netana:DescribeNetworkQuotas" 、
"netana:DescribeNetworkQuotaRequestResult" 、
"netana:CreateNetworkQuotaRequest"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"yundun-sas:DescribeVulList" 、
「yundun-sas:DescribeVulDetails」
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"rds:DescribeDBInstances"
],
"Resource": "*",
"Effect": "Allow"
},
{
"アクション": "ram:CreateServiceLinkedRole" 、
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "cen.aliyuncs.com"
}
}
},
{
"Action": [
"resourcemanager:ListAccounts"
],
"Resource": "*",
"Effect": "Allow"
},
{
"アクション": "ram:DeleteServiceLinkedRole" 、
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "cloudfw.aliyuncs.com"
}
}
}
]
}詳細については、「ポリシー要素」をご参照ください。
サービスにリンクされたロールを削除する
Cloud Firewallが不要になった場合は、AliyunServiceRoleForCloudFWサービスにリンクされたロールを削除できます。 サービスにリンクされたロールを削除する前に、Cloud Firewallの有効期限が切れ、自動的にリリースされることを確認してください。 詳細については、「RAMロールの削除」をご参照ください。
よくある質問
AliyunServiceRoleForCloudFWサービスにリンクされたロールがRAMユーザーに対して自動的に作成されないのはなぜですか。
AliyunServiceRoleForCloudFWサービスにリンクされたロールは、RAMユーザーに必要な権限がある場合にのみ自動的に作成または削除できます。 権限を取得するには、次のポリシーをRAMユーザーにアタッチします。 詳細については、「RAMユーザーへの権限の付与」をご参照ください。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:ID of an Alibaba Cloud account:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"cloudfw.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}