信頼できるAlibaba Cloudサービスは、RAM (Resource Access Management) ロールを引き受けて、他のAlibaba Cloudサービスにアクセスできます。 信頼できるAlibaba Cloudサービスが引き受けることができるRAMロールは、通常のサービスロールとサービスにリンクされたロールの2種類に分類されます。 このトピックでは、サービスにリンクされたロールについて説明します。
背景情報
Alibaba Cloudサービスは、機能を実装するために他のサービスにアクセスする必要がある場合があります。 この場合、Alibaba Cloudサービスは他のサービスへのアクセスを許可されている必要があります。 たとえば、ECS (Elastic Compute Service) およびApsaraDB RDSからリソースリストとログデータを取得するには、Cloud ConfigにECSおよびApsaraDB RDSのアクセス権限が必要です。 アリババクラウドは、サービスにリンクされたロールを提供し、サービスが他のサービスにアクセスすることを許可するプロセスを簡素化します。
サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである RAM ロールです。 サービスにリンクされたロールは、Alibaba Cloudサービス全体のアクセスを許可するために使用されます。 サービスにリンクされたロールは、リンクされたサービスのみが引き受けることができるRAMロールです。 ほとんどの場合、サービスは必要に応じてサービスにリンクされたロールを自動的に作成または削除します。 サービスにリンクされたロールは、サービスに他のサービスへのアクセスを許可するプロセスを簡素化し、誤操作によるリスクを軽減します。
サービスにリンクされたロールにアタッチされているポリシーは、リンクされたサービスによって定義されます。 ポリシーを変更または削除することはできません。 サービスにリンクされたロールにポリシーをアタッチまたはデタッチすることはできません。
サービスにリンクされたロールの作成
一部のAlibaba Cloudサービスは、操作を実行すると、サービスにリンクされたロールを自動的に作成します。 たとえば、クラウドリソースを作成するか、機能を有効にすると、サービスにリンクされたロールが自動的に作成される場合があります。 RAMコンソールの [RAMロール] ページで、作成されたサービスにリンクされたロールを表示できます。 APIまたはCLIを使用してListRoles操作を呼び出すことで、作成されたサービスにリンクされたロールのリストを取得することもできます。
サービスにリンクされたロールを手動で作成することもできます。 詳細については、「サービスにリンクされたロールの作成」をご参照ください。
作成できるサービスにリンクされたロールの数は、Alibaba Cloudアカウント内で作成できるRAMロールの数の制限に基づいています。 制限を超えた場合でも、サービスにリンクされたロールを作成できます。 ただし、他のタイプのRAMロールを作成することはできません。
サービスにリンクされたロールが自動的に作成される方法の詳細については、各サービスのドキュメントを参照してください。
サービスにリンクされたロールを削除する
一部のAlibaba Cloudサービスは、操作を実行すると、サービスにリンクされたロールを自動的に削除します。 たとえば、クラウドリソースを削除したり、機能を無効にしたりすると、サービスにリンクされたロールが自動的に削除される場合があります。 RAMコンソールでサービスにリンクされたロールを手動で削除することもできます。 詳細については、「RAMロールの削除」をご参照ください。
サービスにリンクされたロールを削除しようとすると、RAMはそのロールがリンクされたサービスによって引き受けられているかどうかをチェックします。
ロールが引き受けられていない場合、ロールは削除できます。
ロールが引き受けられている場合、ロールは削除できません。 ただし、エラーメッセージで、サービスにリンクされたロールを引き受けるリンクされたサービスのクラウドリソースを表示できます。 リンクされたサービスのクラウドリソースが不要になった場合は、リンクされたサービスのリソースを見つけて削除します。 次に、サービスにリンクされたロールを削除します。
サービスにリンクされたロールを削除できる条件の詳細については、リンクされたサービスのドキュメントを参照してください。
サービスにリンクされたロールの作成と削除に必要な権限
RAM IDがサービスにリンクされたロールを作成または削除する前に、RAM IDに必要な権限を付与する必要があります。 権限は、サービスにリンクされたロールが自動的に作成される場合にも必要です。
次のサンプルポリシーでは、許可されたRAM IDが、Resource Managementのサービスにリンクされたロールを作成および削除できます。 ram:ServiceNameの値は、[サービスにリンクされたロールで動作するサービス] の [サービス識別子] 列に表示されます。
{
"Action": [
"ram:CreateServiceLinkedRole",
"ram:DeleteServiceLinkedRole"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}サービスにリンクされたロールを作成する権限は、リンクされたサービスの管理ポリシーに含まれています。 ECSの場合、管理ポリシーはAliyunESSFullAccessです。 サービスの管理ポリシーをRAM IDにアタッチすると、RAM IDはサービスのサービスにリンクされたロールを作成できます。
サービスにリンクされたロールを想定
サービスにリンクされたロールは、リンクされたサービスによってのみ引き受けられます。 RAMユーザーや他のRAMロールなどのIDは、ロールを引き受けることはできません。
ロール詳細ページの [信頼ポリシー管理] タブの [サービス] パラメーターで、サービスにリンクされたロールを引き受けることができるサービスを表示できます。
サービスにリンクされたロールをサポートするAlibaba Cloudサービス
詳細については、「サービスにリンクされたロールで動作するサービス」をご参照ください。
サービスがサービスにリンクされたロールをサポートしていない場合は、通常のサービスロールを使用してサービスを承認できます。