Global Accelerator (GA) インスタンスにサービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointが割り当てられておらず、Elastic Compute Serviceインスタンス、elastic network interface (ENI) 、Classic Load Balancer (CLB) インスタンス、Application Load Balancer (ALB) インスタンス、またはNetwork Load Balancer (NLB) インスタンスをGlobal Acceleratorのエンドポイントとして指定している場合、サービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointが自動的に作成されます。 CLBは、以前はServer Load Balancer (SLB) と呼ばれていました。
概要
AliyunServiceRoleForGaVpcEndpointは、Global Acceleratorサービスにリンクされたロールです。 Elastic Compute Serviceインスタンス、ENI、CLBインスタンス、ALBインスタンス、またはNLBインスタンスをGlobal Acceleratorのエンドポイントとして指定する場合は、サービスにリンクされたロールをGlobal Acceleratorに割り当てる必要があります。
サービスにリンクされたロールは、Alibaba Cloudサービスに関連付けられたRAM (Resource Access Management) ロールです。 場合によっては、クラウドサービスの機能を使用するには、最初に他のクラウドサービスにアクセスするための権限を取得する必要があります。 サービスにリンクされたロールは、承認プロセスを簡素化し、誤った操作を防ぎます。 サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。
サービスにリンクされたロールの作成に必要な権限
デフォルトでは、Alibaba Cloudアカウントは、サービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointを作成する権限を与えられています。 サービスにリンクされたロールを作成するには、RAMユーザーに次の権限を付与する必要があります。
{
"アクション": "ram:CreateServiceLinkedRole" 、
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "vpcendpoint.ga.aliyuncs.com"
}
}
}
次のいずれかの方法を使用して、RAMユーザーにサービスにリンクされたロールの作成を許可できます。
AliyunGlobalAccelerationFullAccess管理者ポリシーをRAMユーザーにアタッチします。 詳細については、「RAMロールへの権限の付与」をご参照ください。
説明ほとんどの場合、Global AcceleratorサービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointを作成するための権限は、AliyunGlobalAccelerationFullAccess管理者ポリシーに含まれています。 RAMユーザーがGlobal Acceleratorの管理者権限を持っている場合、RAMユーザーはGlobal AcceleratorのサービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointを作成できます。
RAMユーザーにカスタムポリシーをアタッチします。 次のコードブロックは、カスタムポリシーの内容を示しています。
{ "アクション": "ram:CreateServiceLinkedRole" 、 "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "vpcendpoint.ga.aliyuncs.com" } } }
詳細については、「カスタムポリシーの作成」および「RAMロールへの権限付与」をご参照ください。
サービスにリンクされたロールの作成
Elastic Compute Serviceインスタンス、ENI、CLBインスタンス、ALBインスタンス、またはNLBインスタンスをGlobal Acceleratorのエンドポイントとして指定すると、Global AcceleratorにサービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointが割り当てられます。
サービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointがGlobal Acceleratorに割り当てられていない場合、システムは自動的にサービスにリンクされたロールを作成し、AliyunServiceRoleForGaVpcEndpointという名前のポリシーをサービスにリンクされたロールに追加します。 ポリシーは、Global AcceleratorにElastic Compute Service、ENI、CLB、ALB、またはNLBにアクセスする権限を付与します。 次のコードブロックは、ポリシーの内容を示しています。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Resource": "*", "Action": [ "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:ModifyNetworkInterfaceAttribute" 、 "ecs:DescribeSecurityGroups", "ecs:CreateSecurityGroup", "ecs:AuthorizeSecurityGroup", "ecs:AuthorizeSecurityGroupEgress", "ecs:RevokeSecurityGroup", "ecs:RevokeSecurityGroupEgress" 、 "ecs:JoinSecurityGroup", "ecs:LeaveSecurityGroup" 、 "ecs:DeleteSecurityGroup", "ecs:DescribeSecurityGroupAttribute", "ecs:DescribeSecurityGroups", "ecs:DescribeSecurityGroupReferences" 、 "ecs:ModifySecurityGroupAttribute" 、 "ecs:ModifySecurityGroupEgressRule" 、 "ecs:ModifySecurityGroupPolicy" 、 "ecs:ModifySecurityGroupRule" 、 "vpc:DescribeVSwitches" ] }, { "アクション": "ram:DeleteServiceLinkedRole" 、 "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "vpcendpoint.ga.aliyuncs.com" } } } ] }
サービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointがGlobal Acceleratorに割り当てられている場合、システムはサービスにリンクされたロールを再作成しません。
サービスにリンクされたロールの削除
Global AcceleratorサービスにリンクされたロールAliyunServiceRoleForGaVpcEndpointは自動的に削除されません。 サービスにリンクされたロールを削除する場合は、まず、エンドポイントとして機能するElastic Compute Serviceインスタンス、ENI、CLBインスタンス、ALBインスタンス、またはNLBインスタンスを削除する必要があります。 詳細については、以下のトピックをご参照ください。