このトピックでは、Cloud Storage Gateway (CSG) のサービスにリンクされたロールについて説明します。AliyunServiceRoleForHCSSGGWおよびAliyunServiceRoleForHCSSGLogMonitorです。 また、ロールを削除する方法についても説明します。
背景情報
Resource Access Management (RAM) は、CSGのサービスにリンクされたロールAliyunServiceRoleForHCSSGGWおよびAliyunServiceRoleForHCSSGLogMonitorを提供します。 これらのロールにより、CSGは他のクラウドリソースのリソースにアクセスできます。
一部のシナリオでは、CSGを使用してelastic network interface、トピック、キュー、またはサブスクリプションを作成し、Key Management Service (KMS) を使用してデータを暗号化する必要がある場合があります。 CSGを使用して、Object Storage Service (OSS) バケット内のデータにアクセス、アップロード、ダウンロード、および管理する必要がある場合もあります。 これを行うには、AliyunServiceRoleForHCSGWサービスリンクロールを使用して、CSGにECSリソース、仮想プライベートクラウド (VPC) リソース、KMSリソース、およびOSSリソースへのアクセスを許可します。
一部のシナリオでは、CSGを使用してゲートウェイログを取得およびプッシュする必要があります。 これを行うには、AliyunServiceRoleForHCSSGWLogMonitorサービスにリンクされたロールを使用して、CSGにLog serviceリソースへのアクセスを許可します。
AliyunServiceRoleForHCSGW
AliyunServiceRoleForHCSGWは、AliyunHCSSGWFullAccess権限を持つRAMユーザーにのみ割り当てることができます。
AliyunServiceRoleForHCSGWは、次のクラウドサービスにアクセスできます。
Elastic Network Interfaceと関連するセキュリティグループ
ENIと関連する権限グループを使用してマウントプロトコルを提供するには、CSGに次の権限が必要です。
{
"Action": [
"ecs:CreateNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs: DescribeNetworkInterfaces"、
"ecs:DescribeNetworkInterfacePermissions",
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateSecurityGroup",
"ecs:DescribeSecurityGroups",
"ecs:AuthorizeSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:JoinSecurityGroup"
],
"Resource": "*",
"Effect": "Allow"
}
VPC
VPCリソースにアクセスするには、CSGに次の権限が必要です。
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*",
"Effect": "Allow"
}
OSS
CSGには、OSSリソースのアップロード、ダウンロード、管理に次の権限が必要です。
{
"Action": [
"oss:ListBuckets",
"oss:ListObjects",
"oss:GetObject"、
"oss:PutObject",
"oss:DeleteObject",
"oss:HeadObject" 、
"oss:CopyObject" 、
"oss:InitiateMultipartUpload" 、
"oss:UploadPart" 、
"oss:UploadPartCopy" 、
"oss:CompleteMultipartUpload" 、
"OSS:AbortMultipartUpload"、
"oss:ListMultipartUploads",
"oss:ListParts",
"oss:GetBucketStat",
"oss:GetBucketWebsite" 、
"oss:GetBucketInfo",
"oss:GetBucketEncryption" 、
"oss:PutBucketEncryption" 、
"oss:DeleteBucketEncryption" 、
"oss:RestoreObject" 、
"oss:PutObjectTagging" 、
"oss:GetObjectTagging" 、
「oss:DeleteObjectTagging」
],
"Resource": "*",
"Effect": "Allow"
}
KMS
CSGには、データに対してサーバー側暗号化またはクライアント側暗号化を実行するために、次の権限が必要です。
{
"Action": [
"kms:DescribeKey"、
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Effect": "Allow"
}
Message Service
ゲートウェイの高速同期を設定するには、CSGに次の権限が必要です。
{
"Action": [
"mns:SendMessage",
"mns:ReceiveMessage" 、
"mns:PublishMessage" 、
"mns:DeleteMessage" 、
"mns:GetQueueAttributes" 、
"mns:GetTopicAttributes" 、
"mns:CreateTopic" 、
"mns:DeleteTopic" 、
"mns:CreateQueue" 、
"mns:DeleteQueue" 、
"mns:PutEventNotifications" 、
"mns:DeleteEventNotifications" 、
"mns:UpdateEventNotifications" 、
"mns:GetEvent" 、
"mns:Subscribe" 、
"mns:Unsubscribe" 、
"mns:ListTopic",
"mns:ListQueue",
"mns:ListSubscriptionByTopic"
],
"Resource": "*",
"Effect": "Allow"
}
BSS
ゲートウェイの課金情報を収集して表示するには、CSGに次の権限が必要です。
{
"Action": [
「bss:DescribePrice」
],
"Resource": "*",
"Effect": "Allow"
}
AliyunServiceRoleForHCSSGWLogMonitor
AliyunServiceRoleForHCSSGWLogMonitorは、AliyunHCSSGWFullAccess権限を持つRAMユーザーにのみ割り当てることができます。
AliyunServiceRoleForHCSSGWLogMonitorは、次のクラウドサービスにアクセスできます。
Log Service
ゲートウェイのログモニタリングを設定するには、CSGに次の権限が必要です。
{
"Action": [
"log:PostLogStoreLogs"、
"log:GetLogStore"
],
"Resource": "*",
"Effect": "Allow"
}
サービスにリンクされたロールの削除
AliyunServiceRoleForHCSGWまたはAliyunServiceRoleForHCSSGWLogMonitorサービスリンクロールを削除する前に、CSGコンソールのすべてのゲートウェイを削除する必要があります。