すべてのプロダクト
Search

このプロダクト

    Global Accelerator:AliyunServiceRoleForGaFlowlog

    ドキュメントセンター

    Global Accelerator:AliyunServiceRoleForGaFlowlog

    最終更新日:May 23, 2024

    このトピックでは、サービスにリンクされたロールAliyunServiceRoleForGaFlowlogのシナリオと、サービスにリンクされたロールを作成および削除する方法について説明します。

    概要

    AliyunServiceRoleForGaFlowlogは、Global Accelerator (GA) のサービスにリンクされたロールです。 AliyunServiceRoleForGaFlowlogを作成すると、GAはLog ServiceにアクセスしてログをLog Serviceに配信できます。
    説明 サービスにリンクされたロールは、Alibaba Cloudサービスに関連付けられたRAM (Resource Access Management) ロールです。 一部のシナリオでは、クラウドサービスの機能を使用するには、他のクラウドサービスにアクセスするための権限を取得する必要があります。 サービスにリンクされたロールは、承認プロセスを簡素化し、ユーザーエラーによるリスクを回避します。 詳細については、「サービスにリンクされたロール」をご参照ください。

    AliyunServiceRoleForGaFlowlogの作成に必要な権限

    Alibaba Cloudアカウントを使用して、AliyunServiceRoleForGaFlowlogを作成できます。 AliyunServiceRoleForGaFlowlogをRAMユーザーとして作成する場合、RAMユーザーはまず次の権限を取得する必要があります: 
    {
      "アクション": "ram:CreateServiceLinkedRole" 、
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "flowlog.ga.aliyuncs.com"
        }
      }
}
    次のいずれかの方法で、RAMユーザーに必要な権限を付与できます。
    • 管理者権限ポリシーAliyunGlobalAccelerationFullAccessをRAMユーザーにアタッチします。 詳細については、「RAMロールへの権限の付与」をご参照ください。
      説明 サービスにリンクされたロールを作成する権限は、AliyunGlobalAccelerationFullAccessに含まれています。 したがって、AliyunGlobalAccelerationFullAccessをRAMユーザーにアタッチした後、RAMユーザーとしてサービスにリンクされたロールを作成できます。
    • カスタム権限ポリシーを作成し、RAMユーザーにアタッチします。 次のコードブロックは、カスタム権限ポリシーの内容を示しています: 
      {
      "アクション": "ram:CreateServiceLinkedRole" 、
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "flowlog.ga.aliyuncs.com"
        }
      }
}

      詳細については、「カスタムポリシーの作成」および「RAMロールへの権限付与」をご参照ください。

    AliyunServiceRoleForGaFlowlogの作成

    GAのフローログのログ配信機能を有効にすると、サービスにリンクされたロールAliyunServiceRoleForGaFlowlogが自動的に作成され、AliyunServiceRolePolicyForGaFlowlogという名前のアクセス許可ポリシーがアタッチされます。 権限ポリシーにより、GAはフローログにアクセスできます。 次のコードブロックは、権限ポリシーの内容を示しています: 
    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:PostLogStoreLogs"、
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "アクション": "ram:DeleteServiceLinkedRole" 、
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "flowlog.ga.aliyuncs.com"
        }
      }
    }
  ]
}

    AliyunServiceRoleForGaFlowlogの削除

    GAのサービスにリンクされたロールAliyunServiceRoleForGaFlowlogを自動的に削除することはできません。 AliyunServiceRoleForGaFlowlogを手動で削除するには、まずすべてのGAインスタンスを削除します。 詳細については、「サービスにリンクされたロールの削除」をご参照ください。