このトピックでは、StandardエディションのサービスにリンクされたロールAliyunServiceRoleForKMSKeyStore for Dedicated Key Management service (KMS) のシナリオと権限について説明します。 このトピックでは、サービスにリンクされたロールを作成および削除する方法についても説明します。
シナリオ
Standardエディションの専用KMSインスタンスを作成して使用する場合、KMSはサービスにリンクされたロールを使用してData Encryption serviceのハードウェアセキュリティモジュール (HSM) クラスターにアクセスします。
詳細については、「サービスにリンクされたロール」をご参照ください。
アクセス許可
ロール名: AliyunServiceRoleForKMSKeyStore。
ポリシー: AliyunServiceRolePolicyForKMSKeyStore。
権限: KMSは、サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreを使用して、Data Encryption serviceのHSMクラスターと、Elastic Compute Service (ECS) やVirtual Private cloud (VPC) などのクラウドサービスのリソースにアクセスします。
{
"Version": "1",
"Statement": [
{
"アクション":[
"ecs: DescribeNetworkInterfaces"、
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:DescribeSecurityGroups",
"ecs:CreateSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:AuthorizeSecurityGroupEgress",
"ecs:RevokeSecurityGroup",
"ecs:RevokeSecurityGroupEgress" 、
"ecs:DescribeSecurityGroupAttribute"
],
"Resource": "*",
"効果": "許可"
},
{
"アクション":[
"vpc:DescribeVSwitches",
"vpc:DescribeVpcs"
],
"Resource": "*",
"効果": "許可"
},
{
"アクション":[
"yundun-hsm:DescribeInstances" 、
「yundun-hsm:DescribeClusters」
],
"Resource": "*",
"効果": "許可"
},
{
"アクション": "ram:DeleteServiceLinkedRole" 、
"リソース": "*"、
"効果": "許可"、
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}
]
}
サービスにリンクされたロールの作成
Alibaba Cloudアカウントを使用してKMSコンソールでStandardエディションの専用KMSインスタンスを作成すると、サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreが自動的に作成されます。
RAMユーザーを使用してStandardエディションの専用KMSインスタンスを作成する場合は、次のカスタムポリシーをRAMユーザーにアタッチする必要があります。 このように、KMSコンソールで専用KMSインスタンスを作成すると、サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreが自動的に作成されます。 詳細については、「RAM ユーザーへの権限付与」をご参照ください。
{
"アクション": "ram:CreateServiceLinkedRole" 、
"リソース": "*"、
"効果": "許可"、
"Condition": {
"StringEquals": {
"ram:ServiceName": "keystore.kms.aliyuncs.com"
}
}
}
サービスにリンクされたロールの削除
サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreを削除する前に、Alibaba CloudアカウントでStandardエディションの専用KMSインスタンスをリリースする必要があります。 インスタンスの有効期限が切れた後にStandardエディションの専用KMSインスタンスを更新しない場合、インスタンスは自動的にリリースされます。
RAMコンソールで、サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreを削除できます。 詳細については、「RAM ロールの削除」をご参照ください。