サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。 ApsaraDB for MongoDBは、サービスにリンクされたロールを使用して、他のAlibaba Cloudサービスまたはリソースにアクセスします。
ほとんどの場合、サービスにリンクされたロールは、操作を実行すると自動的に作成されます。 サービスにリンクされたロールの作成に失敗した場合、またはApsaraDB for MongoDBがサービスにリンクされたロールを自動的に作成しない場合は、ロールを手動で作成する必要があります。
RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 ポリシーは変更できません。 指定されたサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、指定されたサービスにリンクされたロールの詳細ページに移動します。
シナリオ
ApsaraDB for MongoDBの監査ログ機能を使用すると、ApsaraDB for MongoDBはAliyunServiceRoleForMongoDBサービスにリンクされたロールを自動的に作成します。 これにより、ApsaraDB for MongoDBはSimple Log Serviceのリソースにアクセスできます。
RAMユーザーがサービスにリンクされたロールを使用するために必要な権限
RAMユーザーとしてサービスにリンクされたロールを作成または削除する場合は、管理者に連絡して、AliyunMongoDBFullAccess権限をRAMユーザーに付与するか、カスタムポリシーのAction
ステートメントに次の権限を追加する必要があります。
サービスにリンクされたロールの作成:
ram:CreateServiceLinkedRole
サービスにリンクされたロールの削除:
ram:DeleteServiceLinkedRole
必要な権限を付与する方法の詳細については、「サービスにリンクされたロール」トピックの「サービスにリンクされたロールの作成と削除に必要な権限」を参照してください。
サービスにリンクされたロールの作成
ApsaraDB for MongoDBの監査ログ機能が有効になっている場合、サービスにリンクされたロールが自動的に作成されます。 詳細については、「監査ログ機能の有効化」をご参照ください。
RAMコンソールで、またはAPI操作を呼び出して、サービスにリンクされたロールを手動で作成できます。 詳細については、信頼できるAlibaba CloudサービスのRAMロールの作成トピックの「サービスにリンクされたロールの作成」セクションおよびCreateServiceLinkedRoleをご参照ください。
サービスにリンクされたロールが作成された後、信頼できるAlibaba Cloudサービスは、そのロールに権限が付与されているクラウドリソースにアクセスするためのロールを引き受けることができます。 この場合、Simple Log Serviceの料金が請求される可能性があります。
サービスにリンクされたロールの表示
システムがサービスにリンクされたロールを作成した後、RAMコンソールの [ロール] ページでAliyunServiceRoleForMongoDBを検索すると、ロールの次の詳細を表示できます。
基本情報
AliyunServiceRoleForMongoDBロールの詳細ページの [基本情報] セクションでは、ロール名、作成時間、Alibaba Cloud Resource name (ARN) 、説明などのロールに関する基本情報を表示できます。
ポリシー
AliyunServiceRoleForMongoDBロールの詳細ページの [権限] タブで、ポリシーの名前をクリックして、ポリシーの内容とロールがアクセスできるAlibaba Cloudリソースを表示します。
信頼ポリシー
AliyunServiceRoleForMongoDBロールの詳細ページの [信頼ポリシー管理] タブで、信頼ポリシーの内容を表示できます。 信頼ポリシーは、RAM ロールの信頼済みエンティティを含むポリシーです。 信頼済みエンティティは、RAM ロールを割り当てることができるエンティティを指します。 サービスにリンクされたロールの信頼できるエンティティは、Alibaba Cloudサービスです。 信頼ポリシーの
[サービス]
フィールドで、サービスにリンクされたロールの信頼できるエンティティを表示できます。
サービスにリンクされたロールを表示する方法の詳細については、「RAMロールに関する情報の表示」をご参照ください。
サービスにリンクされたロールの削除
サービスにリンクされたロールが削除されると、ロールに依存する機能は使用できません。 操作は慎重に行ってください。
ApsaraDB for MongoDBを長期間使用しない場合は、RAMコンソールでAliyunServiceRoleForMongoDBサービスにリンクされたロールを削除できます。
ロールを削除する前に、次の要件を満たす必要があります。
AliyunServiceRoleForMongoDBロールに依存するすべてのApsaraDB for MongoDBインスタンスをリリースまたは解除します。 詳細については、「ApsaraDB For MongoDBインスタンスのリリース」をご参照ください。
.
詳細については、「RAMロールの削除」をご参照ください。