Alibaba Cloud Container Compute Service (ACS) をアクティブ化するときは、Alibaba Cloud アカウント内で ACS にデフォルトロールを割り当てる必要があります。これにより、ACS は他の Alibaba Cloud サービスのリソースにアクセスしたり、クラスターを作成したり、ログを保存したりできます。これらの Alibaba Cloud サービスには、Virtual Private Cloud (VPC)、Elastic Network Interface (ENI)、File Storage NAS (NAS)、および Server Load Balancer (SLB) が含まれます。このトピックでは、ACS のデフォルトロールの権限について説明します。
デフォルトロールの権限
次の表に、ACS のデフォルトロールを示します。
ロール | 説明 |
AliyunServiceRoleForAcc | このロールはサービスリンクロールです。ACS は、コンテナサービス Kubernetes 版 (ACK)、Elastic Compute Service (ECS)、VPC、SLB、Application Real-Time Monitoring Service (ARMS) など、クラスタ管理中に他の Alibaba Cloud サービスのリソースにアクセスするためにこのロールを引き受けます。 |
AliyunCCCSIPluginRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、クラウドディスクまたは NAS などのストレージサービスのリソースにアクセスします。 |
AliyunCCCCMServiceRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、SLB や Application Load Balancer (ALB) などのロードバランシングサービスのリソースにアクセスします。 |
AliyunCCNECRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、VPC や ECS などのネットワークサービスのリソースにアクセスし、Elastic IP アドレス (EIP) を作成および使用します。 |
AliyunCCKubernetesAuditRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、Simple Log Service (SLS) のリソースにアクセスし、Kubernetes 監査ログを収集して表示します。 |
AliyunCCManagedLogRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、SLS のリソースにアクセスし、ACS コンテナログを収集して表示します。 |
AliyunCCManagedArmsRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、ARMS のリソースにアクセスし、ACS コンテナのさまざまなリソースメトリクスを収集して表示し、アプリケーションパフォーマンスのメトリクスを監視します。 |
AliyunCCCISDefaultRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、ECS、ACK、VPC、SLB などのクラウドサービスのリソースにアクセスし、Kubernetes および関連コンポーネントのヘルスステータスを定期的にチェックします。 |
AliyunCCManagedAcrRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、Container Registry (ACR) にアクセスし、ACS ポッドの起動に使用される一時的なユーザー名とパスワードのペアを取得します。 |
AliyunCCForResourceProviderRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、ポッドの作成時に他の Alibaba Cloud サービスのリソースにアクセスします。 |
AliyunCCManagedVirtualNodeRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、仮想ノードの作成時に他の Alibaba Cloud サービスのリソースにアクセスします。 |
AliyunCCManagedACSBrokerRole | デフォルトでは、ACS クラスタはこのロールを引き受けて、ポッドの O&M 情報の取得時に他の Alibaba Cloud サービスのリソースにアクセスします。 |
AliyunCSDefaultRole | デフォルトでは、ACS はこのロールを引き受けて、Kubernetes クラスタを作成、削除、またはアップグレードします。 |
AliyunServiceRoleForAcc
このロールはサービスリンクロールです。ACS は、ACK、ECS、VPC、SLB、ARMS など、クラスター管理中に他の Alibaba Cloud サービスのリソースにアクセスするためにこのロールを引き受けます。
ECS関連のパーミッション
パーミッション (アクション) | 説明 |
ecs:CreateNetworkInterface | 弾性ネットワークインターフェース (ENI) を作成します。 |
ecs:DescribeNetworkInterfaces | ENI をクエリします。 |
ecs:AttachNetworkInterface | ENI を VPC 接続の ECS インスタンスにアタッチします。 |
ecs:DetachNetworkInterface | ECS インスタンスから ENI をデタッチします。 |
ecs:DeleteNetworkInterface | ENI を削除します。 |
ecs:DescribeInstanceAttribute | 1 つ以上の ECS インスタンスに関する情報をクエリします。 |
ecs:AssignPrivateIpAddresses | 1 つ以上のセカンダリプライベート IP アドレスを ENI に割り当てます。 |
ecs:UnassignPrivateIpAddresses | ENI から 1 つ以上のセカンダリプライベート IP アドレスの割り当てを解除します。 |
ecs:DescribeInstances | 1 つ以上の ECS インスタンスの詳細をクエリします。 |
ecs:DescribeInstanceTypes | ECS によって提供されるすべてのインスタンスタイプまたは指定されたインスタンスタイプの詳細をクエリします。 |
ecs:AssignIpv6Addresses | 1 つ以上の IPv6 アドレスを ENI に割り当てます。 |
ecs:UnassignIpv6Addresses | ENI から 1 つ以上の IPv6 アドレスの割り当てを解除します。 |
ecs:ModifyNetworkInterfaceAttribute | ENI に関する情報を変更します。 |
ecs:CreateNetworkInterfacePermission | ENI を作成します。 |
ecs:DeleteNetworkInterfacePermission | ENI を削除します。 |
ecs:DescribeNetworkInterfacePermissions | ENI をクエリします。 |
ecs:CreateSecurityGroup | セキュリティグループを作成します。 |
ecs:ModifySecurityGroupEgressRule | セキュリティグループのアウトバウンドルールを変更します。 |
ecs:ModifySecurityGroupPolicy | 基本セキュリティグループの内部アクセス制御ポリシーを変更します。 |
ecs:ModifySecurityGroupRule | セキュリティグループのインバウンドルールを変更します。 |
ecs:DescribeSecurityGroups | セキュリティグループに関する基本情報をクエリします。 |
ecs:RevokeSecurityGroup | セキュリティグループルールを取り消します。 |
ecs:RevokeSecurityGroupEgress | セキュリティグループのアウトバウンドルールを削除します。ルールが削除されると、ルールによって実装されたアクセス制御が削除されます。 |
ecs:DeleteSecurityGroup | セキュリティグループを削除します。 |
ecs:DescribeSecurityGroupAttribute | セキュリティグループのルールをクエリします。 |
ecs:AuthorizeSecurityGroup | セキュリティグループのインバウンドルールを設定します。 |
ecs:AuthorizeSecurityGroupEgress | セキュリティグループのアウトバウンドルールを設定します。 |
VPC関連のパーミッション
パーミッション (アクション) | 説明 |
vpc:DescribeVSwitches | 作成されたvSwitchをクエリします。 |
vpc:DescribeVpcs | 作成されたVPCをクエリします。 |
vpc:DescribeVpcAttribute | VPC の構成をクエリします。 |
vpc:DescribeVSwitchAttributes | vSwitch の構成をクエリします。 |
ACK関連のパーミッション
パーミッション (アクション) | 説明 |
cs:CreateCluster | Kubernetesクラスターを作成します。 |
cs:CreateClusterByResourcesGroup | リソースグループに属する Kubernetes クラスターを作成します。 |
cs:DeleteCluster | Kubernetesクラスターを削除します。 |
cs:DescribeClusterDetail | Kubernetesクラスターの詳細をクエリします。 |
cs:DescribeClusterUserKubeconfig | Kubernetesクラスター内のユーザーのkubeconfigファイルをクエリします。 |
cs:DescribeClusters | Kubernetesクラスターをクエリします。 |
cs:DescribeClustersV1 | Kubernetesクラスターをクエリします。 |
cs:DescribeEvents | 例外をクエリします。 |
cs:DescribeTaskInfo | タスクIDによってタスクの実行の詳細をクエリします。 |
cs:GetClusters | Kubernetesクラスターをクエリします。 |
cs:ListTagResources | クラスターIDによってクラスター内のリソースのラベルをクエリします。 |
cs:ModifyCluster | クラスターに関する情報を変更します。 |
cs:ModifyClusterTags | クラスターのラベルを変更します。 |
cs:TagResources | クラスターにラベルを追加します。 |
cs:UntagResources | クラスターからラベルを削除します。 |
ARMS関連のパーミッション
パーミッション (アクション) | 説明 |
arms:InstallManagedPrometheus | マネージドPrometheusインスタンスを作成します。 |
arms:UnInstallManagedPrometheus | マネージドPrometheusインスタンスを削除します。 |
arms:GetManagedPrometheusStatus | マネージドPrometheusインスタンスのステータスをクエリします。 |
SLB関連のパーミッション
パーミッション (アクション) | 説明 |
slb:AddBackendServers | バックエンドサーバーを追加します。 |
slb:RemoveBackendServers | バックエンドサーバーを削除します。 |
slb:DescribeLoadBalancerAttribute | SLBインスタンスの詳細をクエリします。 |
slb:SetLoadBalancerTCPListenerAttribute | TCPリスナーの構成を変更します。 |
slb:DescribeLoadBalancers | 作成されたSLBインスタンスをクエリします。 |
AliyunCCCSIPluginRole
デフォルトでは、ACS クラスタはこのロールを担って、クラウドディスクまたは NAS などのストレージサービスのリソースにアクセスします。
EBS関連のパーミッション
パーミッション (アクション) | 説明 |
ebs:CreateContainerDisk | クラウドディスクを作成します。 |
ebs:DescribeContainerDisks | クラウドディスクを照会します。 |
ebs:GetContainerDisk | クラウドディスクを照会します。 |
ebs:DeleteContainerDisk | クラウドディスクを削除します。 |
ECS関連のパーミッション
パーミッション (アクション) | 説明 |
ecs:AttachDisk | クラウドディスクを接続します。 |
ecs:DetachDisk | クラウドディスクを切断します。 |
ecs:DescribeDisks | クラウドディスクを照会します。 |
ecs:CreateDisk | クラウドディスクを作成します。 |
ecs:DeleteDisk | クラウドディスクを削除します。 |
ecs:AddTags | クラウドディスクにラベルを追加します。 |
ecs:RemoveTags | クラウドディスクからラベルを削除します。 |
ecs:DescribeTags | 使用可能なラベルを照会します。 |
ecs:DescribeInstances | 1 つ以上の ECS インスタンスの詳細を照会します。 |
NAS関連のパーミッション
パーミッション (アクション) | 説明 |
nas:CreateFileSystem | ファイルシステムを作成します。 |
nas:CreateMountTarget | ファイルシステムにマウントターゲットを作成します。 |
nas:DeleteFileSystem | ファイルシステムを削除します。 |
nas:DeleteMountTarget | ファイルシステム内のマウントターゲットを削除します。 |
nas:DescribeFileSystems | ファイルシステムに関する情報を照会します。 |
nas:DescribeMountTargets | ファイルシステム内のマウントターゲットを照会します。 |
nas:ModifyFileSystem | ファイルシステムの説明を変更します。 |
nas:ModifyMountTarget | ファイルシステム内のマウントターゲットの説明を変更します。 |
nas:AddTags | ファイルシステムにラベルを追加します。 |
nas:DescribeTags | 使用可能なラベルを照会します。 |
nas:RemoveTags | ファイルシステムからラベルを削除します。 |
nas:EnableRecycleBin | ファイルシステムのごみ箱機能を有効にします。 |
nas:GetRecycleBinAttribute | 汎用 NAS ファイルシステムのごみ箱構成を照会します。 |
nas:SetDirQuota | ファイルシステムのディレクトリクォータを作成します。 |
nas:DescribeDirQuotas | ファイルシステムのディレクトリクォータを照会します。 |
AliyunCCCCMServiceRole
デフォルトでは、ACS クラスタは ACS Cloud Controller Manager (CCM) プラグインを使用して、SLB や ALB などのロードバランシングサービスを作成および使用するためにこのロールを引き受けます。
SLB関連のパーミッション
パーミッション (アクション) | 説明 |
slb:AddBackendServers | バックエンドサーバーを追加します。 |
slb:AddTags | SLBインスタンスにラベルを追加します。 |
slb:AddVServerGroupBackendServers | バックエンドサーバーを追加します。 |
slb:CreateLoadBalancer | SLBインスタンスを作成します。 |
slb:CreateLoadBalancerHTTPListener | SLBインスタンスのHTTPリスナーを作成します。 |
slb:CreateLoadBalancerHTTPSListener | SLBインスタンスのHTTPSリスナーを作成します。 |
slb:CreateLoadBalancerTCPListener | SLBインスタンスのTCPリスナーを作成します。 |
slb:CreateLoadBalancerUDPListener | SLBインスタンスのUDPリスナーを作成します。 |
slb:CreateVServerGroup | vServerグループを作成し、vServerグループにバックエンドサーバーを追加します。 |
slb:DeleteLoadBalancer | 従量課金制のSLBインスタンスを削除します。 |
slb:DeleteLoadBalancerListener | SLBインスタンスのリスナーを削除します。 |
slb:DeleteVServerGroup | vServerグループを削除します。 |
slb:DescribeLoadBalancerAttribute | SLBインスタンスの詳細を照会します。 |
slb:DescribeLoadBalancerHTTPListenerAttribute | HTTPリスナーの設定を照会します。 |
slb:DescribeLoadBalancerHTTPSListenerAttribute | HTTPSリスナーの設定を照会します。 |
slb:DescribeLoadBalancerListeners | SLBインスタンスのリスナーを照会します。 |
slb:DescribeLoadBalancerTCPListenerAttribute | TCPリスナーの設定を照会します。 |
slb:DescribeLoadBalancerUDPListenerAttribute | UDPリスナーの設定を照会します。 |
slb:DescribeLoadBalancers | 作成されたSLBインスタンスを照会します。 |
slb:DescribeTags | 使用可能なラベルを照会します。 |
slb:DescribeVServerGroupAttribute | vServerグループの詳細を照会します。 |
slb:DescribeVServerGroups | vServerグループを照会します。 |
slb:ModifyLoadBalancerInstanceSpec | SLBインスタンスの仕様を変更します。 |
slb:ModifyLoadBalancerInternetSpec | インターネット向けSLBインスタンスの課金方法を変更します。 |
slb:ModifyVServerGroupBackendServers | vServerグループ内のバックエンドサーバーを置き換えます。 |
slb:RemoveBackendServers | バックエンドサーバーを削除します。 |
slb:RemoveTags | SLBインスタンスからラベルを削除します。 |
slb:RemoveVServerGroupBackendServers | vServerグループからバックエンドサーバーを削除します。 |
slb:SetLoadBalancerDeleteProtection | SLBインスタンスの削除保護を有効または無効にします。 |
slb:SetLoadBalancerHTTPListenerAttribute | HTTPリスナーの設定を変更します。 |
slb:SetLoadBalancerHTTPSListenerAttribute | HTTPSリスナーの設定を変更します。 |
slb:SetLoadBalancerModificationProtection | SLBインスタンスの設定読み取り専用モードの設定を変更します。 |
slb:SetLoadBalancerName | SLBインスタンスの名前を変更します。 |
slb:SetLoadBalancerTCPListenerAttribute | TCPリスナーの設定を変更します。 |
slb:SetLoadBalancerUDPListenerAttribute | UDPリスナーの設定を変更します。 |
slb:SetVServerGroupAttribute | vServerグループの設定を変更します。 |
slb:StartLoadBalancerListener | リスナーを開始します。 |
slb:StopLoadBalancerListener | リスナーを停止します。 |
ALB関連のパーミッション
パーミッション (アクション) | 説明 |
alb:AddServersToServerGroup | サーバーグループにバックエンドサーバーを追加します。 |
alb:AssociateAdditionalCertificatesWithListener | リスナーに追加の証明書を関連付けます。 |
alb:CreateListener | リージョンにHTTP、HTTPS、またはQUICリスナーを作成します。 |
alb:CreateLoadBalancer | リージョンにALBインスタンスを作成します。 |
alb:CreateRule | リスナーの転送ルールを作成します。 |
alb:CreateRules | 複数の転送ルールを作成します。 |
alb:CreateServerGroup | リージョンにサーバーグループを作成します。 |
alb:DeleteListener | リスナーを削除します。 |
alb:DeleteLoadBalancer | ALBインスタンスを削除します。 |
alb:DeleteRule | 転送ルールを削除します。 |
alb:DeleteRules | リスナーから複数の転送ルールを一度に削除します。 |
alb:DeleteServerGroup | サーバーグループを削除します。 |
alb:DescribeZones | リージョン内のゾーンを照会します。 |
alb:DisableDeletionProtection | ALBインスタンスの削除保護を無効にします。 |
alb:DisableLoadBalancerAccessLog | ALBインスタンスのアクセスログ機能を無効にします。 |
alb:DissociateAdditionalCertificatesFromListener | リスナーから追加の証明書を関連付け解除します。 |
alb:EnableDeletionProtection | リソースの削除保護を有効にします。 |
alb:EnableLoadBalancerAccessLog | ALBインスタンスのアクセスログ機能を有効にします。 |
alb:GetListenerAttribute | リスナーの詳細を照会します。 |
alb:GetLoadBalancerAttribute | ALBインスタンスの詳細を照会します。 |
alb:ListListenerCertificates | 追加の証明書とデフォルトの証明書を含む、リスナーに関連付けられている証明書を照会します。 |
alb:ListListeners | リージョン内のリスナーを照会します。 |
alb:ListLoadBalancers | リージョン内のALBインスタンスを照会します。 |
alb:ListRules | リージョン内の転送ルールを照会します。 |
alb:ListServerGroupServers | サーバーグループ内のサーバーを照会します。 |
alb:ListServerGroups | リージョン内のサーバーグループを照会します。 |
alb:RemoveServersFromServerGroup | サーバーグループからバックエンドサーバーを削除します。 |
alb:ReplaceServersInServerGroup | サーバーグループ内のバックエンドサーバーを置き換えます。 |
alb:TagResources | リソースにラベルを追加します。 |
alb:UnTagResources | リソースからラベルを削除します。 |
alb:UpdateListenerAttribute | 名前やデフォルトのアクションなど、リスナーの設定を更新します。 |
alb:UpdateLoadBalancerAttribute | 名前や設定読み取り専用モードなど、ALBインスタンスの属性を更新します。 |
alb:UpdateLoadBalancerEdition | ALBインスタンスのエディションを変更します。 |
alb:UpdateRuleAttribute | 条件、アクション、名前など、転送ルールの設定を更新します。 |
alb:UpdateRulesAttribute | 複数の転送ルール設定を更新します。 |
alb:UpdateServerGroupAttribute | ヘルスチェック、セッション永続化、サーバーグループ名、スケジューリングアルゴリズム、プロトコルなどのサーバーグループの設定を更新します。 |
alb:DescribeZones | リージョン内のゾーンを照会します。 |
alb:CreateAcl | リージョンにアクセス制御リスト (ACL) を作成します。 |
alb:DeleteAcl | ACL を削除します。 |
alb:ListAcls | リージョン内の ACL を照会します。 |
alb:AddEntriesToAcl | ACL に IP アドレスエントリを追加します。 |
alb:AssociateAclsWithListener | リスナーに ACL を関連付けます。 |
alb:ListAclEntries | ACL のエントリを照会します。 |
alb:RemoveEntriesFromAcl | ACL からエントリを削除します。 |
alb:DissociateAclsFromListener | リスナーから ACL を関連付け解除します。 |
alb:EnableLoadBalancerIpv6Internet | デュアルスタック ALB インスタンスのプライベート IPv6 アドレスをパブリック IPv6 アドレスに変更します。 |
alb:DisableLoadBalancerIpv6Internet | デュアルスタック ALB インスタンスのパブリック IPv6 アドレスをプライベート IPv6 アドレスに変更します。 |
ECS関連のパーミッション
パーミッション (アクション) | 説明 |
ecs:DescribeNetworkInterfaces | 1つ以上のENIの詳細を照会します。 |
VPC関連のパーミッション
パーミッション (アクション) | 説明 |
vpc:DescribeVSwitches | 内部ネットワークに使用される使用可能なvSwitchに関する情報を照会します。 |
vpc:DescribeVpcs | 作成されたVPCを照会します。 |
RAM関連のパーミッション
パーミッション (アクション) | 説明 |
ram:CreateServiceLinkedRole | サービスにリンクされたロールを作成します。 |
AliyunCCNECRole
デフォルトでは、ACS クラスタはこのロールを引き受けて、VPC や ECS などのネットワークサービスのリソースにアクセスし、EIP を作成および使用します。
VPC関連のアクセス許可
アクセス許可 (アクション) | 説明 |
vpc:DescribeVSwitches | 内部ネットワークに使用される利用可能な vSwitch に関する情報をクエリします。 |
vpc:AllocateEipAddress | EIP を申請します。 |
vpc:AllocateEipAddressPro | 指定した EIP を申請します。 |
vpc:DescribeEipAddresses | リージョンで作成された EIP をクエリします。 |
vpc:AssociateEipAddress | EIP と同じリージョンにあるインスタンスに EIP を関連付けます。 |
vpc:UnassociateEipAddress | クラウド リソースから EIP の関連付けを解除します。 |
vpc:ReleaseEipAddress | EIP をリリースします。 |
vpc:ModifyEipAddressAttribute | EIP の名前、説明、および最大帯域幅を変更します。 |
vpc:AddCommonBandwidthPackageIp | EIP を EIP 帯域幅プランに関連付けます。 |
vpc:RemoveCommonBandwidthPackageIp | EIP 帯域幅プランから EIP の関連付けを解除します。 |
vpc:TagResources | リソースにラベルを作成して追加します。 |
ECS関連のアクセス許可
アクセス許可 (アクション) | 説明 |
ecs:DescribeNetworkInterfaces | 1 つ以上の ENI に関する詳細をクエリします。 |
AliyunCCKubernetesAuditRole
デフォルトでは、ACS クラスタはこのロールを担って SLS のリソースにアクセスし、Kubernetes 監査ログを収集して表示します。
権限 (アクション) | 説明 |
log:CreateProject | プロジェクトを作成します。 |
log:GetProject | プロジェクト名でプロジェクトを照会します。 |
log:DeleteProject | プロジェクトを削除します。 |
log:CreateLogStore | プロジェクトにログストアを作成します。 |
log:GetLogStore | ログストアの属性を照会します。 |
log:UpdateLogStore | ログストアの属性を更新します。 |
log:DeleteLogStore | ログストアを削除します。 |
log:CreateConfig | Logtail 構成を作成します。 |
log:UpdateConfig | Logtail 構成を更新します。 |
log:GetConfig | Logtail 構成の詳細を照会します。 |
log:DeleteConfig | Logtail 構成を削除します。 |
log:CreateMachineGroup | Logtail 構成を適用するマシン グループを作成します。 |
log:UpdateMachineGroup | マシン グループを更新します。 |
log:GetMachineGroup | マシン グループに関する情報を照会します。 |
log:DeleteMachineGroup | マシン グループを削除します。 |
log:ApplyConfigToGroup | Logtail 構成ファイルをマシン グループに適用します。 |
log:GetAppliedMachineGroups | Logtail 構成が適用されているマシンを照会します。 |
log:GetAppliedConfigs | マシン グループに適用されている Logtail 構成を照会します。 |
log:RemoveConfigFromMachineGroup | マシン グループから Logtail 構成を削除します。 |
log:CreateIndex | ログストアのインデックスを作成します。 |
log:GetIndex | ログストアのインデックスを照会します。 |
log:UpdateIndex | ログストアのインデックスを更新します。 |
log:DeleteIndex | ログストアからインデックスを削除します。 |
log:CreateSavedSearch | 保存済み検索を作成します。 |
log:GetSavedSearch | 保存済み検索を照会します。 |
log:UpdateSavedSearch | 保存済み検索を更新します。 |
log:DeleteSavedSearch | 保存済み検索を削除します。 |
log:CreateDashboard | ダッシュボードを作成します。 |
log:GetDashboard | ダッシュボードを照会します。 |
log:UpdateDashboard | ダッシュボードを更新します。 |
log:DeleteDashboard | ダッシュボードを削除します。 |
log:CreateJob | アラートタスクやサブスクリプションタスクなどのタスクを作成します。 |
log:GetJob | タスクを照会します。 |
log:DeleteJob | タスクを削除します。 |
log:UpdateJob | タスクを更新します。 |
log:PostLogStoreLogs | ログをログストアに書き込みます。 |
デフォルトロールの権限
次の表に、ACS のデフォルトロールを示します。
SLS関連のアクセス許可
ロール | 説明 |
ログ:CreateProject | プロジェクトを作成します。 |
log:GetProject | プロジェクト名でプロジェクトをクエリします。 |
log:プロジェクトの削除 | プロジェクトを削除します。 |
log:CreateLogStore | プロジェクトにログストアを作成します。 |
log:GetLogStore | Logstore の属性をクエリします。 |
log:UpdateLogStore | ログストアの属性を更新します。 |
log:DeleteLogStore | ログストアを削除します。 |
log:CreateConfig | Logtail 設定を作成します。 |
log:UpdateConfig | Logtail 設定を更新します。 |
log:GetConfig | Logtail 設定の詳細をクエリします。 |
log:DeleteConfig | Logtail 設定を削除します。 |
log:CreateMachineGroup | Logtail 設定を適用するマシン グループを作成します。 |
log:マシン グループの更新 | マシン グループを更新します。 |
log:GetMachineGroup | マシン グループに関する情報をクエリします。 |
log:マシンブループの削除 | マシンブループを削除します。 |
log:ApplyConfigToGroup | Logtail構成ファイルをマシン グループに適用します。 |
log:GetAppliedMachineGroups | Logtail 設定が適用されているマシンをクエリします。 |
log:GetAppliedConfigs | マシン グループに適用されている Logtail 構成をクエリします。 |
log:RemoveConfigFromMachineGroup | マシン グループから Logtail 構成を削除します。 |
log:CreateIndex | Logstore のインデックスを作成します。 |
log:GetIndex | ログストアのインデックスをクエリします。 |
ログ:UpdateIndex | Logstore のインデックスを更新します。 |
log:DeleteIndex | Logstore からインデックスを削除します。 |
ログ:CreateSavedSearch | 保存済み検索を作成します。 |
log:GetSavedSearch | 保存済み検索をクエリします。 |
ログ:UpdateSavedSearch | 保存済み検索を更新します。 |
log:DeleteSavedSearch | 保存済み検索を削除します。 |
ログ:CreateDashboard | ダッシュボードを作成します。 |
log:GetDashboard | ダッシュボードをクエリします。 |
ログ:UpdateDashboard | ダッシュボードを更新します。 |
log:DeleteDashboard | ダッシュボードを削除します。 |
ログ:CreateJob | アラートタスクやサブスクリプションタスクなどのタスクを作成します。 |
log:GetJob | タスクをクエリします。 |
log:DeleteJob | タスクを削除します。 |
ログ:UpdateJob | タスクを更新します。 |
log:PostLogStoreLogs | ログストアにログを書き込みます。 |
log:CreateSortedSubStore | ソート済みサブログストアを作成します。 |
log:GetSortedSubStore | ソート済みサブログストアをクエリします。 |
AliyunServiceRoleForAcc | このロールはサービスリンクロールです。ACS はこのロールを担って、Container Service for Kubernetes (ACK)、Elastic Compute Service (ECS)、VPC、SLB、Application Real-Time Monitoring Service (ARMS) など、クラスター管理中に他の Alibaba Cloud サービスのリソースにアクセスします。 |
AliyunCCCSIPluginRole | デフォルトでは、ACS クラスターはこのロールを担って、クラウドディスクまたは NAS などのストレージサービスのリソースにアクセスします。 |
AliyunCCCCMServiceRole | デフォルトでは、ACS クラスターはこのロールを担って、SLB や Application Load Balancer (ALB) などの負荷分散サービスのリソースにアクセスします。 |
AliyunCCNECRole | デフォルトでは、ACS クラスターはこのロールを担って、VPC や ECS などのネットワークサービスのリソースにアクセスし、Elastic IP Address (EIP) を作成して使用します。 |
AliyunCCKubernetesAuditRole | デフォルトでは、ACS クラスターはこのロールを担って、Simple Log Service (SLS) のリソースにアクセスし、Kubernetes 監査ログを収集して表示します。 |
AliyunCCManagedLogRole | デフォルトでは、ACS クラスターはこのロールを担って、SLS のリソースにアクセスし、ACS コンテナログを収集して表示します。 |
AliyunCCManagedArmsRole | デフォルトでは、ACS クラスターはこのロールを担って、ARMS のリソースにアクセスし、ACS コンテナのさまざまなリソースメトリックを収集して表示し、アプリケーションパフォーマンスのメトリックを監視します。 |
AliyunCCCISDefaultRole | デフォルトでは、ACS クラスターはこのロールを担って、ECS、ACK、VPC、SLB などのクラウドサービスのリソースにアクセスし、Kubernetes および関連コンポーネントのヘルスステータスを定期的にチェックします。 |
AliyunCCManagedAcrRole | デフォルトでは、ACS クラスターはこのロールを担って Container Registry (ACR) にアクセスし、ACS ポッドの起動に使用される一時的なユーザー名とパスワードのペアを取得します。 |
ACK関連のアクセス許可
権限 (アクション) | 説明 |
cs:UpdateContactGroup | アラート連絡先グループを更新します。 |
cs:DescribeTemplates | すべてのオーケストレーション テンプレートをクエリします。 |
cs:DescribeTemplateAttribute | オーケストレーション テンプレートの詳細をクエリします。 |
AliyunCCManagedArmsRole
デフォルトでは、ACS クラスターはこのロールを担って ARMS 内のリソースにアクセスし、ACS コンテナのさまざまなリソースメトリクスを収集して表示し、アプリケーションパフォーマンスのメトリクスを監視します。
ARMS関連のアクセス許可
権限 (アクション) | 説明 |
arms:CreateApp | アプリケーション監視タスクを作成します。 |
arms:DeleteApp | アプリケーション監視タスクを削除します。 |
arms:ConfigAgentLabel | アプリケーション監視エージェントのラベルを変更します。 |
arms:GetAssumeRoleCredentials | アプリケーション監視中にRAMユーザーがRAMロールを引き受けるために必要なキーを照会します。 |
arms:CreateProm | Managed Service for Prometheus に基づいて監視タスクを作成します。 |
arms:SearchEvents | アラートイベントを照会します。 |
arms:SearchAlarmHistories | アラート送信履歴を照会します。 |
arms:SearchAlertRules | アラートルールを照会します。 |
arms:GetAlertRules | アラートルールを取得します。 |
arms:CreateAlertRules | アラートルールを作成します。 |
arms:UpdateAlertRules | アラートルールを更新します。 |
arms:StartAlertRule | アラートルールを有効にします。 |
arms:StopAlertRule | アラートルールを無効にします。 |
arms:CreateContact | アラート連絡先を作成します。 |
arms:SearchContact | アラート連絡先を照会します。 |
arms:UpdateContact | アラート連絡先を更新します。 |
arms:CreateContactGroup | アラート連絡先グループを作成します。 |
arms:SearchContactGroup | アラート連絡先グループを照会します。 |
arms:UpdateContactGroup | アラート連絡先グループを更新します。 |
xtrace関連のアクセス許可
アクセス許可 (アクション) | 説明 |
xtrace:GetToken |
AliyunCCCISDefaultRole
デフォルトでは、ACS クラスタはこのロールを引き受けて、ECS、ACK、VPC、SLB などのクラウドサービス内のリソースにアクセスし、Kubernetes と関連コンポーネントのヘルスステータスを定期的にチェックします。
ECS関連のパーミッション
パーミッション (アクション) | 説明 |
ecs:DescribeInstances | 1 つまたは複数の ECS インスタンスの詳細をクエリします。 |
ecs:DescribeInstanceStatus | 複数の ECS インスタンスのステータス情報をクエリします。 |
ecs:DescribeInstanceTypes | ECS によって提供されるすべてのインスタンスタイプまたは指定されたインスタンスタイプの詳細をクエリします。 |
ecs:DescribeInstanceTypeFamilies | ECS によって提供されるインスタンスファミリをクエリします。 |
ecs:DescribeInstanceAttribute | ECS インスタンスの詳細をクエリします。 |
ecs:DescribeDiagnosticReports | リソース診断レポートをクエリします。 |
ecs:DescribeDiagnosticReportAttributes | リソース診断レポートの詳細をクエリします。 |
ecs:DescribeDiagnosticMetricSets | 診断メトリックセットをクエリします。 |
ecs:DescribeDiagnosticMetrics | 診断メトリックをクエリします。 |
ecs:DescribeSecurityGroupAttribute | セキュリティグループのルールをクエリします。 |
ecs:DescribeSecurityGroups | セキュリティグループの基本情報をクエリします。 |
ecs:DescribeSecurityGroupReferences | セキュリティグループが他のセキュリティグループによって参照されているかどうかを確認します。 |
ecs:DescribeBandwidthLimitation | 異なるインスタンスタイプが関係する場合に、購入、アップグレード、またはダウングレードに使用できる最大パブリック帯域幅をクエリします。 |
ecs:DescribeCloudAssistantStatus | 1 つまたは複数の ECS インスタンスに Cloud Assistant エージェントがインストールされているかどうかをクエリします。Cloud Assistant エージェントがインストールされている場合、システムは実行された Cloud Assistant コマンドの総数、実行中の Cloud Assistant コマンドの数、および Cloud Assistant コマンドが最後に実行された時間をクエリします。 |
ecs:DescribeCommands | 作成した Cloud Assistant コマンド、または Alibaba Cloud が提供する共通の Cloud Assistant コマンドをクエリします。 |
ecs:DescribeInvocationResults | ECS インスタンスで 1 つまたは複数の Cloud Assistant コマンドを実行した結果をクエリします。 |
ecs:CreateCommand | Cloud Assistant コマンドを作成します。 |
ecs:InvokeCommand | 1 つまたは複数の ECS インスタンスで Cloud Assistant コマンドをトリガーします。 |
ecs:StopInvocation | 1 つまたは複数の ECS インスタンスで実行されている Cloud Assistant コマンドのプロセスを停止します。 |
ecs:CreateDiagnosticReport | リソース診断レポートを作成します。MetricSetId パラメーターで指定された診断メトリックセットの診断レポートを生成します。 |
ecs:DescribeNetworkInterfaces | 1 つまたは複数の ENI の詳細をクエリします。 |
ecs:RunCommand | 1 つまたは複数の ECS インスタンスでシェル、PowerShell、またはバッチスクリプトを実行します。 |
VPC関連のパーミッション
パーミッション (アクション) | 説明 |
vpc:DescribeVpcs | 作成された VPC をクエリします。 |
vpc:DescribeVpcAttribute | VPC の構成をクエリします。 |
vpc:DescribeVSwitches | 内部ネットワークに使用される使用可能な vSwitch に関する情報をクエリします。 |
vpc:DescribeVSwitchAttributes | vSwitch の構成をクエリします。 |
vpc:DescribeRouteTableList | ルートテーブルをクエリします。 |
vpc:DescribeRouteEntryList | ルートエントリをクエリします。 |
vpc:DescribeNatGateways | リージョン内の特定の条件を満たす NAT ゲートウェイをクエリします。 |
vpc:DescribeRouteTables | ルートテーブルをクエリします。 |
vpc:DescribeSnatTableEntries | ネットワーク ACL の詳細をクエリします。 |
vpc:DescribeNetworkAcls | ネットワーク ACL をクエリします。 |
vpc:DescribeNetworkAclAttributes | ネットワーク ACL の詳細をクエリします。 |
vpc:DescribeEipAddresses | リージョンで作成された EIP をクエリします。 |
SLB関連のパーミッション
パーミッション (アクション) | 説明 |
slb:DescribeLoadBalancers | 作成された SLB インスタンスをクエリします。 |
slb:DescribeLoadBalancerAttribute | SLB インスタンスの詳細をクエリします。 |
slb:DescribeVServerGroups | vServer グループをクエリします。 |
slb:DescribeVServerGroupAttribute | vServer グループの詳細をクエリします。 |
slb:DescribeLoadBalancerTCPListenerAttribute | TCP リスナーの構成をクエリします。 |
slb:DescribeLoadBalancerUDPListenerAttribute | UDP リスナーの構成をクエリします。 |
slb:DescribeAccessControlLists | 作成されたネットワーク ACL をクエリします。 |
slb:DescribeAccessControlListAttribute | ネットワーク ACL の構成をクエリします。 |
slb:DescribeLoadBalancerListeners | SLB インスタンスのリスナーをクエリします。 |
slb:DescribeHealthStatus | バックエンドサーバーのヘルスステータスをクエリします。 |
SLS関連のパーミッション
パーミッション (アクション) | 説明 |
sls:GetLogStore | Logstore の詳細をクエリします。 |
ATP関連のパーミッション
パーミッション (アクション) | 説明 |
grace:GetFile | ファイルの情報をクエリします。 |
grace:AnalyzeFile | ファイルを分析します。 |
grace:UploadFileByOSS | オブジェクトストレージサービス (OSS) を使用してファイルをアップロードします。 |
grace:UploadFileByURL | URL を指定してファイルをアップロードします。 |
CloudMonitor関連のパーミッション
パーミッション (アクション) | 説明 |
cms:DescribeMetricData | クラウドサービスのメトリックの監視データをクエリします。 |
cms:DescribeMetricLast | メトリックの最新の監視データをクエリします。 |
cms:DescribeMetricMetaList | CloudMonitor でサポートされているメトリックの詳細をクエリします。 |
cms:DescribeMetricTop | クラウドサービスのメトリックの最新の監視データをクエリし、次にメトリックのソートされた監視データをクエリします。 |
cms:QueryMetricMeta | CloudMonitor でサポートされている時系列メトリックの説明をクエリします。 |
cms:QueryMetricTop | 上位のメトリックをクエリします。 |
cms:ListMetricMeta | データソースメトリックを一覧表示します。 |
cms:QueryMetricData | 指定された期間における CloudMonitor の時系列メトリックの監視データをクエリします。 |
cms:QueryMetricLast | メトリックの最新の監視データをクエリします。 |
cms:DescribeMetricList | Alibaba Cloud サービスのメトリックの監視データをクエリします。 |
cms:QueryMetricList | 一定期間内の特定のサービスのインスタンスまたはクラスタの監視データをクエリします。 |
cms:DescribeAlertLogList | 過去 1 年間のアラートログをクエリします。 |
cms:DescribeSystemEventAttribute | システムイベントの詳細をクエリします。 |
ACK関連のパーミッション
パーミッション (アクション) | 説明 |
cs:DescribeClusterDetail | クラスタ ID によってクラスタの詳細をクエリします。 |
cs:DescribeClusterResources | クラスタ ID によってクラスタ内のすべてのリソースをクエリします。 |
cs:DescribeTaskInfo | タスク ID によってタスクの実行詳細をクエリします。 |
cs:DescribeClusterAddonsUpgradeStatus | コンポーネント名によってコンポーネントの更新進捗をクエリします。 |
リソースクォータ関連のパーミッション
パーミッション (アクション) | 説明 |
quotas:ListProducts | Quota Center でサポートされている Alibaba Cloud サービスをクエリします。 |
quotas:ListProductQuotas | Alibaba Cloud サービスのクォータをクエリします。 |
quotas:ListProductQuotaDimensions | Alibaba Cloud サービスでサポートされているクォータディメンションをクエリします。 |
quotas:GetProductQuota | クォータの詳細をクエリします。 |
quotas:GetProductQuotaDimension | Alibaba Cloud サービスでサポートされているクォータディメンションの詳細をクエリします。 |
RAM関連のパーミッション
パーミッション (アクション) | 説明 |
ram:CreateServiceLinkedRole | サービスリンクロールを作成します。 |
AliyunCCManagedAcrRole
デフォルトでは、ACS クラスタはこのロールを引き受けて ACR にアクセスし、ACS ポッドの起動に使用する一時的なユーザー名とパスワードのペアを取得します。
CR関連のアクセス許可
アクセス許可 (アクション) | 説明 |
cr:GetAuthorizationToken | コンテナーレジストリインスタンスにログインするために使用される一時的なユーザー名とパスワードのペアを照会します。 |
cr:ListInstanceEndpoint | インスタンスのエンドポイントを照会します。 |
AliyunCCForResourceProviderRole
Pod の作成時に、ACS クラスタはデフォルトでこのロールを担い、他の Alibaba Cloud サービスのリソースにアクセスします。
ECS関連の権限
権限 (アクション) | 説明 |
ecs:CreateNetworkInterfacePermission | ENI を作成します。 |
ecs:DeleteNetworkInterfacePermission | ENI を削除します。 |
ecs:CreateNetworkInterface | ENI を作成します。 |
ecs:DeleteNetworkInterface | ENI を削除します。 |
ecs:DescribeSecurityGroups | セキュリティグループに関する基本情報を照会します。 |
ecs:DescribeNetworkInterfaces | ENI を照会します。 |
ecs:CreateDisk | クラウドディスクを作成します。 |
ecs:DescribeDisks | クラウドディスクを照会します。 |
ecs:AttachDisk | クラウドディスクを接続します。 |
ecs:DetachDisk | クラウドディスクを切断します。 |
VPC関連の権限
権限 (アクション) | 説明 |
vpc:DescribeVSwitches | 作成済みのvSwitchを照会します。 |
vpc:DescribeVpcs | 作成済みのVPCを照会します。 |
vpc:AllocateEipAddress | EIP を申請します。 |
vpc:AssociateEipAddress | EIP と、EIP と同じリージョンにあるインスタンスを関連付けます。 |
vpc:UnassociateEipAddress | クラウド リソースから EIP の関連付けを解除します。 |
vpc:ReleaseEipAddress | EIP をリリースします。 |
AliyunCCManagedVirtualNodeRole
デフォルトでは、仮想ノードの作成時に、ACS クラスタはこのロールを担って他の Alibaba Cloud サービスのリソースにアクセスします。
PVTZ関連のアクセス許可
権限 (アクション) | 説明 |
pvtz:AddZone | ゾーンを追加します。 |
pvtz:DeleteZone | ゾーンを削除します。 |
pvtz:DescribeZones | ゾーンを照会します。 |
pvtz:BindZoneVpc | ゾーンを VPC に関連付けます。 |
pvtz:AddZoneRecord | DNS レコードを追加します。 |
pvtz:DeleteZoneRecord | DNS レコードを削除します。 |
pvtz:DescribeZoneRecords | DNS レコードを照会します。 |
EBS関連の権限
権限 (アクション) | 説明 |
vpc:DescribeVSwitches | 作成済みのvSwitchを照会します。 |
AliyunCSDefaultRole
このロールは、ACKのサービスリンクロールです。デフォルトでは、ACSはこのロールを引き受けて、Kubernetesクラスターの作成、削除、またはアップグレードを行います。
サービスリンクロールの詳細については、AliyunCSDefaultRoleを参照してください。