AliyunServiceRoleForDAS は、Database Autonomy Service (DAS) にリンクされている RAM ロールです。 このトピックでは、RAM ロールのシナリオと、RAM ロールを削除する方法について説明します。

このタスクについて

機能を実行するために、DAS が他のクラウドサービスにアクセスしなければならない場合があります。 そのため RAM は、DAS が必要なアクセス権限を取得できるようにする AliyunServiceRoleForDAS ロールを用意しています。 詳細については、「サービスにリンクされたロール」をご参照ください。

シナリオ

Elastic Compute Service (ECS) インスタンスでホストされているユーザー作成データベースに、DAS を接続しなければならない場合があります。 また、ApsaraDB RDS、ApsaraDB for MongoDB、ApsaraDB for Redis、PolarDB のデータベースなど、Alibaba Cloud から購入したクラウドデータベースに DAS を接続しなければならない場合もあります。 このようなシナリオでは、DAS は、データベースにアクセスするための権限を持っている必要があります。 必要なアクセス許可を取得するために、DAS は AliyunServiceRoleForDAS ロールを引き受けることができます。

概要

RAM ロールの名前は AliyunServiceRoleForDAS です。

RAM ロールの参考までに添付されているアクセス権限ポリシーは AliyunServiceRolePolicyForDAS です。

アクセス権限ポリシーでは、以下のアクセス権限を指定します。
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "rds:DescribeRegions",
        "rds:DescribeDBInstances",
        "rds:DescribeDatabases",
        "rds:DescribeDBInstanceNetInfo",
        "rds:DescribeDBInstanceAttribute",
        "rds:DescribeAccounts",
        "rds:DescribeDBInstanceIPArrayList",
        "rds:DescribeDBInstancePerformance",
        "rds:ModifySecurityIps",
        "rds:CreateAccount",
        "rds:GrantAccountPrivilege",
        "rds:RevokeAccountPrivilege",
        "rds:CreateDatabase",
        "rds:ModifyDBInstanceDescription",
        "rds:DescribeSlowLogRecords",
        "rds:DescribeSlowLogs",
        "rds:DescribeResourceUsage",
        "rds:DescribeSQLCollectorPolicy",
        "rds:ModifyDBInstanceSpec",
        "rds:DescribeTasks",
        "rds:DescribeTaskIdByRequestID",
        "rds:ModifyDBNodeClass",
        "rds:DescribeParameters",
        "rds:ModifyParameter"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribePhysicalConnections",
        "vpc:DescribeVpnGateways",
        "vpc:DescribeRouterInterfaces",
        "vpc:DescribeVirtualBorderRouters"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceAttribute",
        "ecs:DescribeInstanceStatus",
        "ecs:DescribeInstanceMonitorData",
        "ecs:DescribeSecurityGroups",
        "ecs:JoinSecurityGroup",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:AuthorizeSecurityGroup",
        "ecs:RevokeSecurityGroup",
        "ecs:DescribeDisks",
        "ecs:DescribeImages"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kvstore:DescribeCacheAnalysisReport",
        "kvstore:DescribeCacheAnalysisReportList",
        "kvstore:CreateCacheAnalysisTask",
        "kvstore:DescribeAccounts",
        "kvstore:CreateAccount",
        "kvstore:DescribeRegions",
        "kvstore:DescribeInstances",
        "kvstore:DescribeInstanceAttribute",
        "kvstore:DescribeHistoryMonitorValues",
        "kvstore:DescribeMonitorItems",
        "kvstore:VerifyPassword",
        "kvstore:DescribeSecurityIps",
        "kvstore:ModifySecurityIps",
        "kvstore:ModifyInstanceAttribute"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "dts:DescribeMigrationJobs",
        "dts:DescribeMigrationJobDetail",
        "dts:DescribeMigrationJobStatus",
        "dts:CreateMigrationJob",
        "dts:ConfigureMigrationJob",
        "dts:SuspendMigrationJob",
        "dts:StartMigrationJob",
        "dts:StopMigrationJob",
        "dts:DeleteMigrationJob",
        "dts:DescribeSynchronizationJobs",
        "dts:DescribeSynchronizationJobStatus",
        "dts:CreateSynchronizationJob",
        "dts:ConfigureSynchronizationJob",
        "dts:SuspendSynchronizationJob",
        "dts:StartSynchronizationJob",
        "dts:DeleteSynchronizationJob",
        "dts:DescribeObjectModifyStatus",
        "dts:ModifySynchronizationObject",
        "dts:ResetSynchronizationJob"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "pvtz:DescribeUserServiceStatus",
        "pvtz:DescribeZones",
        "pvtz:DescribeZoneRecords",
        "pvtz:UpdateZoneRecord"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "dds:DescribeDBInstances",
        "dds:DescribeReplicaSetRole",
        "dds:DescribeDBInstanceAttribute",
        "dds:DescribeRegions",
        "dds:DescribeDBInstancePerformance",
        "dds:DescribeSecurityIps",
        "dds:ModifyDBInstanceDescription",
        "dds:ModifySecurityIps",
        "dds:DescribeShardingNetworkAddress",
        "dds:DescribeSlowLogRecords",
        "dds:DescribeRunningLogRecords",
        "dds:DescribeErrorLogList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "cms:QueryContactGroup",
        "cms:QueryContact"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "polardb:DescribeDBClusters",
        "polardb:DescribeRegions",
        "polardb:DescribeDBClusterAttribute",
        "polardb:ModifyDBNodeClass",
        "polardb:DescribeDBClusterAvailableResources",
        "polardb:CreateDBNodes",
        "polardb:DeleteDBNodes"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "hdm.aliyuncs.com"
        }
      }
    }
  ]
}

AliyunServiceRoleForDAS ロールの削除

AliyunServiceRoleForDAS ロールを削除する方法については、「サービスにリンクされたロール」をご参照ください。