このトピックでは、StandardエディションのサービスにリンクされたロールAliyunServiceRoleForKMSKeyStore for Dedicated Key Management service (KMS) のシナリオと権限について説明します。 このトピックでは、サービスにリンクされたロールを作成および削除する方法についても説明します。

シナリオ

Standardエディションの専用KMSインスタンスを作成して使用する場合、KMSはサービスにリンクされたロールを使用してData Encryption serviceのハードウェアセキュリティモジュール (HSM) クラスターにアクセスします。

詳細については、「サービスにリンクされたロール」をご参照ください。

アクセス許可

ロール名: AliyunServiceRoleForKMSKeyStore。

ポリシー: AliyunServiceRolePolicyForKMSKeyStore。

権限: KMSは、サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreを使用して、Data Encryption serviceのHSMクラスターと、Elastic Compute Service (ECS) やVirtual Private cloud (VPC) などのクラウドサービスのリソースにアクセスします。

{
  "Version": "1",
  "Statement": [
    {
      "アクション":[
        "ecs: DescribeNetworkInterfaces"、
        "ecs:DeleteNetworkInterfacePermission",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeSecurityGroups",
        "ecs:CreateSecurityGroup",
        "ecs:DeleteSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress" 、
        "ecs:DescribeSecurityGroupAttribute"
      ],
      "Resource": "*",
      "効果": "許可"
    },
    {
      "アクション":[
        "vpc:DescribeVSwitches",
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "効果": "許可"
    },
    {
      "アクション":[
        "yundun-hsm:DescribeInstances" 、
        「yundun-hsm:DescribeClusters」
      ],
      "Resource": "*",
      "効果": "許可"
    },
    {
      "アクション": "ram:DeleteServiceLinkedRole" 、
      "リソース": "*"、
      "効果": "許可"、
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "keystore.kms.aliyuncs.com"
        }
      }
    }
  ]
}

サービスにリンクされたロールの作成

Alibaba Cloudアカウントを使用してKMSコンソールでStandardエディションの専用KMSインスタンスを作成すると、サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreが自動的に作成されます。

RAMユーザーを使用してStandardエディションの専用KMSインスタンスを作成する場合は、次のカスタムポリシーをRAMユーザーにアタッチする必要があります。 このように、KMSコンソールで専用KMSインスタンスを作成すると、サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreが自動的に作成されます。 詳細については、「RAM ユーザーへの権限付与」をご参照ください。

{
    "アクション": "ram:CreateServiceLinkedRole" 、
    "リソース": "*"、
    "効果": "許可"、
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "keystore.kms.aliyuncs.com"
        }
     }
}

サービスにリンクされたロールの削除

サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreを削除する前に、Alibaba CloudアカウントでStandardエディションの専用KMSインスタンスをリリースする必要があります。 インスタンスの有効期限が切れた後にStandardエディションの専用KMSインスタンスを更新しない場合、インスタンスは自動的にリリースされます。

RAMコンソールで、サービスにリンクされたロールAliyunServiceRoleForKMSKeyStoreを削除できます。 詳細については、「RAM ロールの削除」をご参照ください。