すべてのプロダクト
Search

このプロダクト

    Apsara File Storage NAS:NASのサービスにリンクされたロール

    ドキュメントセンター

    Apsara File Storage NAS:NASのサービスにリンクされたロール

    最終更新日:Sep 29, 2024

    ファイルシステムの機能を実装するために、Apsara file Storage NAS (NAS) は、ファイルシステムのサービスにリンクされたロールを自動的に作成します。 これにより、ファイルシステムは、Elastic Compute Service (ECS) やVirtual Private cloud (VPC) などの他のクラウドサービスにアクセスできます。

    背景情報

    サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールです。 NASは、サービスにリンクされたロールを使用して、他のクラウドサービスまたはリソースにアクセスします。

    ほとんどの場合、操作を実行すると、システムはサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールの自動作成に失敗した場合、またはNASが自動作成をサポートしていない場合は、サービスにリンクされたロールを手動で作成する必要があります。

    RAMは、サービスにリンクされたロールごとにシステムポリシーを提供します。 システムポリシーは変更できません。 特定のサービスにリンクされたロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。

    説明

    サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。

    シナリオ

    NASのサービスにリンクされたロールは、次のシナリオで使用されます。

    • AliyunServiceRoleForNasStandard

      汎用NASファイルシステム用のクラシックネットワークでマウントターゲットを作成する場合、AliyunServiceRoleForNasStandardロールを使用してECSにアクセスできます。 これにより、リソースリストを照会し、認証ロジックを適用できます。

    • AliyunServiceRoleForNasExtreme

      Extreme NASファイルシステムのマウントターゲットを作成する場合、AliyunServiceRoleForNasExtremeロールを使用してVPCとECSにアクセスできます。

    • AliyunServiceRoleForNasEncryption

      Key Management Service (KMS) によって暗号化されたファイルシステムを作成する場合、AliyunServiceRoleForNasEncryptionロールを使用してKMSにアクセスできます。 これにより、KMSによって管理されているキーを取得し、キーにタグを追加できます。 これにより、ファイルシステムへのアクセスに使用されるキーを誤って削除するのを防ぐことができます。

    • AliyunServiceRoleForNasLogDelivery

      NASファイルシステムのログ分析機能を有効にすると、AliyunServiceRoleForNasLogDeliveryロールを使用してSimple log Serviceにアクセスできます。 Simple Log ServiceでプロジェクトとLogstoreを作成し、NASファイルシステムからLogstoreにログデータをダンプすることもできます。

    • AliyunServiceRoleForNasBackup

      汎用NASファイルシステムのファイルバックアップ機能を有効にすると、AliyunServiceRoleForNasBackupロールを使用してクラウドバックアップを有効化し、バックアップ計画を作成できます。

    • AliyunServiceRoleForNasEcsHandler

      NASコンソールでファイルシステムをマウントする場合、AliyunServiceRoleForNasEcsHandlerロールを使用してCloud Assistantにアクセスできます。 その後、Cloud Assistantを使用して、1つ以上のECSインスタンスに対してCloud Assistantコマンドを実行できます。 これにより、ファイルシステムをマウントまたはアンマウントし、ECSインスタンスのマウントステータスを照会できます。

    詳細については、「サービスにリンクされたロール」をご参照ください。

    権限

    NASのサービスにリンクされたロールには、次の権限が付与されます。

    AliyunServiceRoleForNasStandard

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "ecs:DescribeInstances" 
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

    AliyunServiceRoleForNasExtreme

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "vpc:DescribeVSwitchAttributes",
 "vpc:DescribeVpcs",
 "vpc:DescribeVSwitches"
 ],
 "Resource": "*",
 "Effect": "Allow"
 },
 {
 "Action": [
 "ecs:CreateSecurityGroup", 
 "ecs:DescribeSecurityGroups",
 "ecs:DescribeSecurityGroupAttribute",
 "ecs:DeleteSecurityGroup", 
 "ecs:AuthorizeSecurityGroup", 
 "ecs:CreateNetworkInterface", 
 "ecs:DeleteNetworkInterface",
 "ecs:DescribeNetworkInterfaces",
 "ecs:CreateNetworkInterfacePermission", 
 "ecs:DescribeNetworkInterfacePermissions",
 "ecs:DeleteNetworkInterfacePermission"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

    AliyunServiceRoleForNasEncryption

    {
 "Statement": [
 {
 "Effect": "Allow",
 "Action": [
 "kms:Listkeys", 
 "kms:Listaliases",
 "kms:ListResourceTags",
 "kms:DescribeKey", 
 "kms:TagResource", 
 "kms:UntagResource"
 ],
 "Resource": "acs:kms:*:*:*"
 },
 {
 "Effect": "Allow",
 "Action": [
 "kms:Encrypt",
 "kms:Decrypt",
 "kms:GenerateDataKey"
 ],
 "Resource": "acs:kms:*:*:*/*",
 "Condition": {
 "StringEqualsIgnoreCase": {
 "kms:tag/acs:nas:instance-encryption": "true"
 }
 }
 }
 ],
 "Version": "1"
}

    AliyunServiceRoleForNasLogDelivery

    {
 "Version": "1",
 "Statement": [
 {
 "Action": [
 "log:PostLogStoreLogs"
 ],
 "Resource": "*",
 "Effect": "Allow"
 }
 ]
}

    AliyunServiceRoleForNasBackup

    {
	"Version": "1",
	"Statement": [{
			"Action": [
				"hbr:OpenHbrService",
				"hbr:CreateTrialBackupPlan"
			],
			"Resource": "*",
			"Effect": "Allow"
		},
		{
			"Action": "ram:DeleteServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "backup.nas.aliyuncs.com"
				}
			}
		},
		{
			"Action": "ram:CreateServiceLinkedRole",
			"Resource": "*",
			"Effect": "Allow",
			"Condition": {
				"StringEquals": {
					"ram:ServiceName": "nasbackup.hbr.aliyuncs.com"
				}
			}
		}
	]
}

    AliyunServiceRoleForNasEcsHandler

    {
 "Version": "1",
 "Statement": [
 {
 "Action": "ram:DeleteServiceLinkedRole",
 "Resource": "*",
 "Effect": "Allow",
 "Condition": {
 "StringEquals": {
 "ram:ServiceName": "ecs-handler.nas.aliyuncs.com"
 }
 }
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:InvokeCommand"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*",
 "acs:ecs:*:*:command/cmd-ACS-NAS-ClickMount-*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInstances",
 "ecs:DescribeCloudAssistantStatus"
 ],
 "Resource": [
 "acs:ecs:*:*:instance/*"
 ]
 },
 {
 "Effect": "Allow",
 "Action": [
 "ecs:DescribeInvocations",
 "ecs:DescribeInvocationResults"
 ],
 "Resource": [
 "*"
 ]
 }
 ]
}

    RAMユーザーがサービスにリンクされたロールを使用するために必要な権限

    RAMユーザーを使用してサービスにリンクされたロールを作成または削除する場合は、管理者に連絡して、RAMユーザーにAliyunNASFullAccess権限を付与するか、カスタムポリシーのActionステートメントに次の権限を追加する必要があります。

    • サービスにリンクされたロールの作成: ram:CreateServiceLinkedRole

    • サービスにリンクされたロールの削除: ram:DeleteServiceLinkedRole

    詳細については、「サービスにリンクされたロールの作成と削除に必要な権限」をご参照ください。

    サービスにリンクされたロールの表示

    サービスにリンクされたロールを作成した後、ロール名 (AliyunServiceRoleForNasStandardなど) を検索して、[RAMコンソールのロール] ページでサービスにリンクされたロールに関する次の情報を表示できます。

    • 基本情報

      AliyunServiceRoleForNasStandardロールの詳細ページの [基本情報] セクションで、ロール名、作成時刻、Alibaba Cloud Resource name (ARN) 、説明などのロールの基本情報を表示します。

    • ポリシー

      AliyunServiceRoleForNasStandardロールの詳細ページの [権限] タブで、ポリシー名をクリックして、ロールがアクセスできるポリシーコンテンツとクラウドリソースを表示します。

    • 信頼ポリシー

      AliyunServiceRoleForNasStandardロールの詳細ページの [信頼ポリシー] タブで、信頼ポリシーの内容を表示します。 信頼ポリシーは、RAMロールの信頼できるエンティティを記述します。 信頼できるエンティティは、RAMロールを引き受けることができるエンティティです。 サービスにリンクされたロールの信頼済みエンティティは、クラウドサービスです。 サービスにリンクされたロールの信頼できるエンティティを取得するには、信頼ポリシーのserviceパラメーターの値を表示します。

    サービスにリンクされたロールに関する情報を表示する方法の詳細については、「RAMロールに関する情報の表示」をご参照ください。

    サービスにリンクされたロールを削除する

    NASのサービスにリンクされたロールを使用する必要がなくなった場合は、サービスにリンクされたロールを削除できます。 たとえば、KMSで暗号化されたファイルシステムを作成する必要がなくなった場合は、AliyunServiceRoleForNasEncryptionロールを削除できます。 NASのサービスにリンクされたロールを削除する前に、関連するファイルシステムを削除する必要があります。 詳細については、「ファイルシステムの削除」および「サービスにリンクされたロールの削除」をご参照ください。

    重要

    サービスにリンクされたロールを削除すると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。

    よくある質問

    NASのサービスにリンクされたロールがRAMユーザーに対して自動的に作成されないのはなぜですか?

    RAMユーザーがNASのサービスにリンクされたロールを作成または削除する前に、RAMユーザーに必要な権限を付与する必要があります。 したがって、NASのサービスにリンクされたロールがRAMユーザーに対して自動的に作成されない場合は、次のポリシーをRAMユーザーにアタッチする必要があります。 Alibaba CloudアカウントIDを実際のアカウントIDに置き換える必要があります。 詳細については、「カスタムポリシーの作成」をご参照ください。 

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:<Alibaba Cloud account ID>:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "standard.nas.aliyuncs.com",
                        "extreme.nas.aliyuncs.com",
                        "encryption.nas.aliyuncs.com",
                        "logdelivery.nas.aliyuncs.com",
                        "ecs-handler.nas.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}