このトピックでは、EventBridge のサービスリンクロールの背景情報、ポリシードキュメント、注意事項、およびよくある質問 (FAQ) について説明します。
背景情報
EventBridge は、特定の機能を実行するために、他の Alibaba Cloud サービスにアクセスする必要がある場合があります。このアクセスを有効にするために、EventBridge はサービスリンクロールを作成します。サービスリンクロールは、Alibaba Cloud サービスに関連付けられたロールです。詳細については、「サービスリンクロール」をご参照ください。
EventBridge は、次のサービスリンクロールの自動作成をサポートしています。
AliyunServiceRoleForEventBridgeSendToFC
AliyunServiceRoleForEventBridgeSendToFC サービスリンクロールは、EventBridge に Function Compute (FC) の関数を呼び出す権限を付与します。
AliyunServiceRoleForEventBridgeSendToFC サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToFC アクセスポリシーがアタッチされています。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"fc:InvokeFunction",
"fc:ListServices",
"fc:ListFunctions"
"fc:ListServiceVersions",
"fc:ListAliases",
"fc:RegisterEventSource",
"fc:DeregisterEventSource",
"fc:ListEventSources"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "sendevent-fc.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToMNS
AliyunServiceRoleForEventBridgeSendToMNS サービスリンクロールは、EventBridge に Simple Message Queue (formerly MNS) へのメッセージの送信および発行を行う権限を付与します。
AliyunServiceRoleForEventBridgeSendToMNS サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToMNS アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"mns:SendMessage", // メッセージの送信
"mns:GetQueueAttributes", // キュー属性の取得
"mns:PublishMessage", // メッセージの公開
"mns:ListQueue", // キューの一覧表示
"mns:ListTopic", // トピックの一覧表示
"mns:ReceiveMessage", // メッセージの受信
"mns:BatchReceiveMessage", // メッセージのバッチ受信
"mns:PeekMessage", // メッセージのピーク
"mns:BatchPeekMessage", // メッセージのバッチピーク
"mns:ChangeMessageVisibility", // メッセージの可視性の変更
"mns:DeleteMessage" // メッセージの削除
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "sendevent-mns.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToSMS
AliyunServiceRoleForEventBridgeSendToSMS サービスリンクロールは、EventBridge に Short Message Service (SMS) を使用してショートメッセージを送信する権限を付与します。
AliyunServiceRoleForEventBridgeSendToSMS サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToSMS アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"dysms:SendSms", // SMS の送信
"dysms:SendBatchSms", // SMS のバッチ送信
"dysms:QuerySendDetails", // 送信詳細のクエリ
"dysms:QuerySmsSign", // SMS 署名のクエリ
"dysms:QuerySmsTemplate" // SMS テンプレートのクエリ
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "sendevent-sms.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToDirectMail
AliyunServiceRoleForEventBridgeSendToDirectMail サービスリンクロールは、EventBridge に Direct Mail を使用してメールを送信する権限を付与します。
AliyunServiceRoleForEventBridgeSendToDirectMail サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToDirectMail アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"dm:SingleSendMail", // 単一メールの送信
"dm:BatchSendMail", // メールの一括送信
"dm:QueryMailAddressByParam" // パラメータによるメールアドレスのクエリ
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "sendevent-directmail.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSourceRocketMQ
サービスリンクロール AliyunServiceRoleForEventBridgeSourceRocketMQ は、ApsaraMQ for RocketMQ のリソースにアクセスし、機能を使用するための権限を提供します。
AliyunServiceRoleForEventBridgeSourceRocketMQ サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSourceRocketMQ アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version":"1",
"Statement":[
{
"Action":[
"mq:QueryInstanceBaseInfo", // インスタンスの基本情報のクエリ
"mq:QueryConsumerStatus", // コンシューマー状態のクエリ
"mq:SUB" // メッセージの購読
],
"Resource":"*",
"Effect":"Allow"
},
{
"Action":"ram:DeleteServiceLinkedRole",
"Resource":"*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"ram:ServiceName":"source-rocketmq.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToRocketMQ
AliyunServiceRoleForEventBridgeSendToRocketMQ サービスリンクロールは、EventBridge に ApsaraMQ for RocketMQ へメッセージを発行する権限を付与します。
AliyunServiceRoleForEventBridgeSendToRocketMQ サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToRocketMQ アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version":"1",
"Statement":[
{
"Action":[
"mq:PUB", // メッセージの公開
"mq:QueryInstanceBaseInfo", // インスタンスの基本情報のクエリ
"mq:QueryTopicStatus", // トピック状態のクエリ
"mq:QueryConsumerAccumulate", // コンシューマー累積のクエリ
"mq:QueryConsumerStatus" // コンシューマー状態のクエリ
],
"Resource":"*",
"Effect":"Allow"
},
{
"Action":"ram:DeleteServiceLinkedRole",
"Resource":"*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"ram:ServiceName":"sendevent-rocketmq.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeConnectVPC
AliyunServiceRoleForEventBridgeConnectVPC サービスリンクロールは、EventBridge に VPC (virtual private cloud) 内のリソースにアクセスする権限を付与します。
AliyunServiceRoleForEventBridgeConnectVPC サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeConnectVPC アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version":"1",
"Statement":[
{
"Action":[
"vpc:DescribeVpcs", // VPC の記述
"vpc:DescribeVSwitches", // VSwitch の記述
"vpc:DescribeVSwitchAttributes" // VSwitch 属性の記述
],
"Resource":"*",
"Effect":"Allow"
},
{
"Action":[
"ecs:DescribeSecurityGroups", // セキュリティグループの記述
"ecs:CreateSecurityGroup", // セキュリティグループの作成
"ecs:CreateNetworkInterface", // ネットワークインターフェイスの作成
"ecs:DeleteNetworkInterface", // ネットワークインターフェイスの削除
"ecs:DescribeNetworkInterfaces", // ネットワークインターフェイスの記述
"ecs:CreateNetworkInterfacePermission", // ネットワークインターフェイス権限の作成
"ecs:DescribeNetworkInterfacePermissions", // ネットワークインターフェイス権限の記述
"ecs:DeleteNetworkInterfacePermission" // ネットワークインターフェイス権限の削除
],
"Resource":"*",
"Effect":"Allow"
},
{
"Action":"ram:DeleteServiceLinkedRole",
"Resource":"*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"ram:ServiceName":"connect-vpc.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSourceActionTrail
AliyunServiceRoleForEventBridgeSourceActionTrail サービスリンクロールは、EventBridge に ActionTrail からの操作レコードをクエリおよび配信する権限を付与します。
AliyunServiceRoleForEventBridgeSourceActionTrail サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSourceActionTrail アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"actiontrail:CreateServiceTrail",
"actiontrail:DeleteServiceTrail"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "source-actiontrail.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSourceRabbitMQ
サービスリンクロール AliyunServiceRoleForEventBridgeSourceRabbitMQ は、ApsaraMQ for RabbitMQ のリソースにアクセスする権限を付与します。
AliyunServiceRoleForEventBridgeSourceRabbitMQ サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSourceRabbitMQ アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"amqp:ListInstance", // インスタンスの一覧表示
"amqp:ListVhost", // 仮想ホストの一覧表示
"amqp:ListExchange", // 交換機の一覧表示
"amqp:GetVhost", // 仮想ホストの取得
"amqp:GetExchange", // 交換機の取得
"amqp:GetQueue", // キューの取得
"amqp:BasicRecover", // メッセージの回復
"amqp:BasicCancel", // コンシューマーのキャンセル
"amqp:BasicConsume", // メッセージの消費
"amqp:BasicAck", // メッセージの確認応答
"amqp:BasicNack", // メッセージの否定応答
"amqp:BasicReject", // メッセージの拒否
"amqp:QueuePurge", // キューのクリア
"amqp:BasicGet" // メッセージの取得
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "source-rabbitmq.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToRabbitMQ
AliyunServiceRoleForEventBridgeSendToRabbitMQ サービスリンクロールは、EventBridge に ApsaraMQ for RabbitMQ へメッセージを発行する権限を付与します。
AliyunServiceRoleForEventBridgeSendToRabbitMQ サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToRabbitMQ アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version":"1",
"Statement":[
{
"Action":[
"amqp:ListInstance", // インスタンスの一覧表示
"amqp:ListVhost", // 仮想ホストの一覧表示
"amqp:ListExchange", // 交換機の一覧表示
"amqp:GetVhost", // 仮想ホストの取得
"amqp:CreateExchange", // 交換機の作成
"amqp:GetExchange", // 交換機の取得
"amqp:CreateQueue", // キューの作成
"amqp:GetQueue", // キューの取得
"amqp:BasicRecover", // メッセージの回復
"amqp:BasicPublish", // メッセージの公開
"amqp:BasicAck", // メッセージの確認応答
"amqp:BasicNack" // メッセージの否定応答
],
"Resource":"*",
"Effect":"Allow"
},
{
"Action":"ram:DeleteServiceLinkedRole",
"Resource":"*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"ram:ServiceName":"sendevent-rabbitmq.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSourceKafka
サービスリンクロール AliyunServiceRoleForEventBridgeSourceKafka は、ApsaraMQ for Kafka にアクセスする権限を提供し、リソースアクセス機能を有効にします。
AliyunServiceRoleForEventBridgeSourceKafka サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSourceKafka アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"alikafka:ListInstance", // インスタンスの一覧表示
"alikafka:ListSaslUser" // SASL ユーザーの一覧表示
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": "source-kafka.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToKafka
AliyunServiceRoleForEventBridgeSendToKafka サービスリンクロールは、EventBridge に ApsaraMQ for Kafka へメッセージを発行する権限を付与します。
AliyunServiceRoleForEventBridgeSendToKafka サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToKafka アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"alikafka:ListInstance", // インスタンスの一覧表示
"alikafka:ListSaslUser" // SASL ユーザーの一覧表示
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": "sendevent-kafka.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToRDS
AliyunServiceRoleForEventBridgeSendToRDS サービスリンクロールは、EventBridge に ApsaraDB RDS へデータを配信する権限を付与します。
AliyunServiceRoleForEventBridgeSendToRDS サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToRDS アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"rds:DescribeDBInstanceAttribute", // DB インスタンス属性の記述
"rds:DescribeDatabases", // データベースの記述
"rds:DescribeAccounts" // アカウントの記述
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "sendevent-rds.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSourceCMS
AliyunServiceRoleForEventBridgeSourceCMS サービスリンクロールは、EventBridge に Cloud Monitor (CMS) のリソースにアクセスする権限を付与します。
AliyunServiceRoleForEventBridgeSourceCMS サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSourceCMS アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cms:DescribeSystemEventAttribute", // システムイベント属性の記述
"cms:DescribeSystemEventCount", // システムイベント数の記述
"cms:DescribeSystemEventHistogram" // システムイベントヒストグラムの記述
],
"Resource": "*"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "source-cms.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToSAE
AliyunServiceRoleForEventBridgeSendToSAE サービスリンクロールは、EventBridge に Serverless App Engine (SAE) へデータを配信する権限を付与します。
AliyunServiceRoleForEventBridgeSendToSAE サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToSAE アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"sae:ExecJob" // ジョブの実行
],
"Resource": "*"
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "sendevent-sae.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSourceMqtt
サービスリンクロール AliyunServiceRoleForEventBridgeSourceMqtt は、Message Queue for MQTT のリソースにアクセスする権限を付与されます。
AliyunServiceRoleForEventBridgeSourceMqtt サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSourceMqtt アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Action": [
"mq:SUB" // メッセージの購読
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "source-mqtt.eventbridge.aliyuncs.com"
}
}
}
]
}AliyunServiceRoleForEventBridgeSendToMqtt
AliyunServiceRoleForEventBridgeSendToMqtt サービスリンクロールは、EventBridge に ApsaraMQ for MQTT へメッセージを発行する権限を付与します。
AliyunServiceRoleForEventBridgeSendToMqtt サービスリンクロールには、AliyunServiceRolePolicyForEventBridgeSendToMqtt アクセスポリシーが付与されます。ポリシードキュメントは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Effect":"Allow",
"Action":[
"mq:MqttInstanceAccess"
],
"Resource": "*"
},
{
"Action": [
"mq:PUB"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": "sendevent-mqtt.eventbridge.aliyuncs.com"
}
}
}
]
}注意事項
サービスリンクロールが削除されると、EventBridge は対応する Alibaba Cloud サービスにイベントを発行できなくなります。サービスリンクロールを削除する際はご注意ください。この機能を再度使用するには、ロールを再作成する必要があります。詳細については、「サービスリンクロールの作成」をご参照ください。
サービスリンクロールの削除方法の詳細については、「サービスリンクロールの削除」をご参照ください。
FAQ
Q:Resource Access Management (RAM) ユーザーが EventBridge のサービスリンクロールを自動的に作成できないのはなぜですか。
A:RAM ユーザーは、Alibaba Cloud アカウントからサービスリンクロールを継承します。RAM ユーザーがロールを継承しない場合は、RAM コンソールにログインして、RAM ユーザーにカスタムポリシーを追加できます。ポリシードキュメントは次のとおりです。
{
"Version":"1",
"Statement":[
{
"Action":"ram:CreateServiceLinkedRole",
"Resource":"acs:ram:*:Alibaba Cloud account ID:role/*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"ram:ServiceName":[
"sendevent-fc.eventbridge.aliyuncs.com",
"sendevent-mns.eventbridge.aliyuncs.com",
"sendevent-sms.eventbridge.aliyuncs.com",
"sendevent-directmail.eventbridge.aliyuncs.com",
"source-rocketmq.eventbridge.aliyuncs.com",
"source-mns.eventbridge.aliyuncs.com",
"source-cms.eventbridge.aliyuncs.com",
"source-mqtt.eventbridge.aliyuncs.com",
"source-sls.eventbridge.aliyuncs.com",
"sendevent-sae.eventbridge.aliyuncs.com",
"sendevent-rocketmq.eventbridge.aliyuncs.com",
"connect-vpc.eventbridge.aliyuncs.com",
"source-actiontrail.eventbridge.aliyuncs.com",
"source-rabbitmq.eventbridge.aliyuncs.com",
"sendevent-rabbitmq.eventbridge.aliyuncs.com",
"source-kafka.eventbridge.aliyuncs.com",
"sendevent-kafka.eventbridge.aliyuncs.com",
"sendevent-rds.eventbridge.aliyuncs.com",
"sendevent-arms.eventbridge.aliyuncs.com",
"sendevent-mqtt.eventbridge.aliyuncs.com"
]
}
}
}
]
}Alibaba Cloud account ID を、ご利用の実際の Alibaba Cloud アカウント ID に置き換えてください。
このアクセスポリシーを付与しても RAM ユーザーがサービスリンクロールを自動的に作成できない場合は、RAM ユーザーに AliyunEventBridgeFullAccess ポリシーを付与できます。アクセスポリシーの詳細については、「アクセスポリシーと例」をご参照ください。