このトピックでは、仮想ノードで操作を実行するために使用できるサービスにリンクされたロールAliyunServiceRoleForECIVnodeと、サービスにリンクされたロールを削除する方法について説明します。
背景情報
サービスにリンクされたロールAliyunServiceRoleForECIVnode for virtual nodesは、Alibaba Cloudが提供するRAMロールで、エラスティックコンテナインスタンス上で仮想ノードを使用できます。 サービスにリンクされたロールがエラスティックコンテナインスタンスに割り当てられると、インスタンスには他のAlibaba Cloudサービスへのアクセス許可が付与されます。 サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。
シナリオ
仮想ノードを作成すると、システムはElastic Container Instance、Elastic Compute Service (ECS) 、およびvirtual Private Cloud (VPC) のリソースにアクセスします。 このシナリオでは、自動的に作成されたサービスにリンクされたロールAliyunServiceRoleForECIVnodeを使用してアクセス許可を付与できます。
権限の説明
AliyunServiceRoleForECIVnodeロールにアタッチされているポリシーは、AliyunServiceRolePolicyForECIVnodeです。 このポリシーには、クラウドサービスに対する次のアクセス権限が含まれます。
{
"Version": "1",
"Statement": [
{
"Action": [
"eci:CreateContainerGroup" 、
"eci:CreateContainerGroupFromTemplate" 、
"eci:UpdateContainerGroup" 、
"eci:UpdateContainerGroupByTemplate" 、
"eci:RestartContainerGroup" 、
"eci:DeleteContainerGroup" 、
"eci:DescribeContainerGroups" 、
"eci:ExportContainerGroupTemplate" 、
"eci:ExecContainerCommand" 、
"eci:CreateImageCache" 、
"eci:DeleteImageCache" 、
"eci:UpdateImageCache" 、
"eci:DescribeImageCaches" 、
"eci:DescribeContainerGroupMetric" 、
"eci:DescribeMultiContainerGroupMetric" 、
"eci:DescribeContainerLog" 、
"eci:DescribeContainerGroupPrice" 、
「eci:DescribeRegions」
],
"Resource": "*",
"Effect":"Allow"
},
{
"Action": [
"vpc:DescribeVSwitches",
"vpc:DescribeVpcs",
"vpc:DescribeEipAddresses"
],
"Resource": "*",
"Effect":"Allow"
},
{
"Action": [
"ecs: DescribeNetworkInterfaces"、
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:DescribeSecurityGroups"
],
"Resource": "*",
"Effect":"Allow"
},
{
"アクション": "ram:DeleteServiceLinkedRole" 、
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "vnode.eci.aliyuncs.com"
}
}
}
]
}
サービスにリンクされたロールの削除
サービスにリンクされたロールAliyunServiceRoleForECIVnodeを削除する前に、OpenAPI Explorerを使用して、サービスにリンクされたロールに関連付けられている仮想ノードを削除する必要があります。 詳細については、「RAMロールの削除」をご参照ください。