すべてのプロダクト
Search
ドキュメントセンター

:CSGのサービスリンクロール

最終更新日:Jul 09, 2024

このトピックでは、Cloud Storage Gateway (CSG) のサービスにリンクされたロールについて説明します。AliyunServiceRoleForHCSSGGWおよびAliyunServiceRoleForHCSSGLogMonitorです。 また、ロールを削除する方法についても説明します。

背景情報

Resource Access Management (RAM) は、CSGのサービスにリンクされたロールAliyunServiceRoleForHCSSGGWおよびAliyunServiceRoleForHCSSGLogMonitorを提供します。 これらのロールにより、CSGは他のクラウドリソースのリソースにアクセスできます。

一部のシナリオでは、CSGを使用してelastic network interface、トピック、キュー、またはサブスクリプションを作成し、Key Management Service (KMS) を使用してデータを暗号化する必要がある場合があります。 CSGを使用して、Object Storage Service (OSS) バケット内のデータにアクセス、アップロード、ダウンロード、および管理する必要がある場合もあります。 これを行うには、AliyunServiceRoleForHCSGWサービスリンクロールを使用して、CSGにECSリソース、仮想プライベートクラウド (VPC) リソース、KMSリソース、およびOSSリソースへのアクセスを許可します。

一部のシナリオでは、CSGを使用してゲートウェイログを取得およびプッシュする必要があります。 これを行うには、AliyunServiceRoleForHCSSGWLogMonitorサービスにリンクされたロールを使用して、CSGにLog serviceリソースへのアクセスを許可します。

AliyunServiceRoleForHCSGW

説明

AliyunServiceRoleForHCSGWは、AliyunHCSSGWFullAccess権限を持つRAMユーザーにのみ割り当てることができます。

AliyunServiceRoleForHCSGWは、次のクラウドサービスにアクセスできます。

  • Elastic Network Interfaceと関連するセキュリティグループ

ENIと関連する権限グループを使用してマウントプロトコルを提供するには、CSGに次の権限が必要です。

{
      "Action": [
        "ecs:CreateNetworkInterface",
        "ecs:DeleteNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs: DescribeNetworkInterfaces"、
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateSecurityGroup",
        "ecs:DescribeSecurityGroups",
        "ecs:AuthorizeSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:JoinSecurityGroup"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • VPC

VPCリソースにアクセスするには、CSGに次の権限が必要です。

{
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • OSS

CSGには、OSSリソースのアップロード、ダウンロード、管理に次の権限が必要です。

{
      "Action": [
        "oss:ListBuckets",
        "oss:ListObjects",
        "oss:GetObject"、
        "oss:PutObject",
        "oss:DeleteObject",
        "oss:HeadObject" 、
        "oss:CopyObject" 、
        "oss:InitiateMultipartUpload" 、
        "oss:UploadPart" 、
        "oss:UploadPartCopy" 、
        "oss:CompleteMultipartUpload" 、
        "OSS:AbortMultipartUpload"、
        "oss:ListMultipartUploads",
        "oss:ListParts",
        "oss:GetBucketStat",
        "oss:GetBucketWebsite" 、
        "oss:GetBucketInfo",
        "oss:GetBucketEncryption" 、
        "oss:PutBucketEncryption" 、
        "oss:DeleteBucketEncryption" 、
        "oss:RestoreObject" 、
        "oss:PutObjectTagging" 、
        "oss:GetObjectTagging" 、
        「oss:DeleteObjectTagging」
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • KMS

CSGには、データに対してサーバー側暗号化またはクライアント側暗号化を実行するために、次の権限が必要です。

{
      "Action": [
        "kms:DescribeKey"、
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • Message Service

ゲートウェイの高速同期を設定するには、CSGに次の権限が必要です。

{
      "Action": [
        "mns:SendMessage",
        "mns:ReceiveMessage" 、
        "mns:PublishMessage" 、
        "mns:DeleteMessage" 、
        "mns:GetQueueAttributes" 、
        "mns:GetTopicAttributes" 、
        "mns:CreateTopic" 、
        "mns:DeleteTopic" 、
        "mns:CreateQueue" 、
        "mns:DeleteQueue" 、
        "mns:PutEventNotifications" 、
        "mns:DeleteEventNotifications" 、
        "mns:UpdateEventNotifications" 、
        "mns:GetEvent" 、
        "mns:Subscribe" 、
        "mns:Unsubscribe" 、
        "mns:ListTopic",
        "mns:ListQueue",
        "mns:ListSubscriptionByTopic"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  • BSS

ゲートウェイの課金情報を収集して表示するには、CSGに次の権限が必要です。

{
      "Action": [
        「bss:DescribePrice」
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

AliyunServiceRoleForHCSSGWLogMonitor

説明

AliyunServiceRoleForHCSSGWLogMonitorは、AliyunHCSSGWFullAccess権限を持つRAMユーザーにのみ割り当てることができます。

AliyunServiceRoleForHCSSGWLogMonitorは、次のクラウドサービスにアクセスできます。

  • Log Service

ゲートウェイのログモニタリングを設定するには、CSGに次の権限が必要です。

{
      "Action": [
        "log:PostLogStoreLogs"、
        "log:GetLogStore"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

サービスにリンクされたロールの削除

AliyunServiceRoleForHCSGWまたはAliyunServiceRoleForHCSSGWLogMonitorサービスリンクロールを削除する前に、CSGコンソールのすべてのゲートウェイを削除する必要があります。