すべてのプロダクト
Search
ドキュメントセンター

:サービスにリンクされたロール

最終更新日:Dec 19, 2024

このトピックでは、ApsaraDB RDSでサポートされているサービスにリンクされたロールの使用シナリオについて説明します。 このトピックでは、サービスにリンクされたロールを削除する方法についても説明します。

背景情報

ApsaraDB RDSは、次のサービスにリンクされたロールをサポートします。

  • ApsaraDB RDS for MySQLで使用されるAliyunServiceRoleForRds

  • ApsaraDB RDS for PostgreSQLに使用されるAliyunServiceRoleForRdsPgsqlOnEcs

  • ApsaraDB RDS for PostgreSQLのデータベースプロキシ機能に使用される

ApsaraDB RDSは、特定の機能を提供するために他のAlibaba Cloudサービスへのアクセスを必要とする場合があります。 サービスにリンクされたロールをApsaraDB RDSに割り当てて、他のAlibaba Cloudサービスへのアクセスに必要な権限を取得できます。 サービスにリンクされたロールはRAMロールです。 詳細については、「サービスにリンクされたロール」をご参照ください。

サービスにリンクされたロールの概要

AliyunServiceRoleForRds

Name

AliyunServiceRoleForRds

添付ポリシー

AliyunServiceRolePolicyForRds

権限

AliyunServiceRoleForRdsポリシードキュメント

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress",
                "ecs:DescribeKeyPairs",
                "ecs:ModifyImageSharePermission",
                "ecs:DescribeImages"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:AssociateEipAddress",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "rds-ecs-service.rds.aliyuncs.com"
                }
            }
        }
    ]
}

ロールの作成

このサービスにリンクされたロールは、ApsaraDB RDS for MySQLの権限付与に使用されます。 データベースを作成するときに、コンソールでロールを作成できます。 詳細については、「データベースの作成」をご参照ください。

ロールの削除

サービスにリンクされたロールを削除する前に、ロールに依存するすべてのデータベースを削除する必要があります。

AliyunServiceRoleForRdsPgsqlOnEcs

名前

AliyunServiceRoleForRdsPgsqlOnEcs

添付ポリシー

AliyunServiceRolePolicyForRdsPgsqlOnEcs

権限

AliyunServiceRoleForRdsPgsqlOnEcsポリシードキュメント

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Listkeys",
                "kms:Listaliases",
                "kms:ListResourceTags",
                "kms:DescribeKey",
                "kms:UntagResource",
                "kms:TagResource",
                "kms:DescribeAccountKmsStatus"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "kms:tag/acs:rds:instance-encryption": "true"
                }
            }
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "pgsql-onecs.rds.aliyuncs.com"
                }
            }
        }
    ]
}

ロールの作成

  1. RAM コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ロール] を選択します。

  3. 表示されるページで、[ロールの作成] をクリックします。

  4. [ロールの作成] ウィザードの [ロールタイプの選択] ステップで、[Alibaba Cloud Service] を選択し、[次へ] をクリックします。

  5. [ロールの設定] ステップで、[ロールタイプ] パラメーターを [サービスリンクロール] に設定し、[サービスの選択] パラメーターを [クラウドリレーショナルデータベースPostgresql-OnEcs] に設定します。 次に、[OK] をクリックします。

    image..png

ロールの削除

サービスにリンクされたロールを削除する前に、サービスにリンクされたロールに関連付けられているすべてのインスタンスをリリースする必要があります。

AliyunServiceRoleForRDSProxyOnEcs

名前

AliyunServiceRoleForRDSProxyOnEcs

添付ポリシー

AliyunServiceRolePolicyForRDSProxyOnEcs

権限

AliyunServiceRoleForRDSProxyOnEcsポリシードキュメント

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:ModifySecurityGroupAttribute",
                "ecs:AuthorizeSecurityGroup",
                "ecs:AuthorizeSecurityGroupEgress",
                "ecs:RevokeSecurityGroup",
                "ecs:RevokeSecurityGroupEgress"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVSwitches",
                "vpc:DescribeVpcs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "rdsproxy-onecs.rds.aliyuncs.com"
                }
            }
        }
    ]
}

ロールの作成

このサービスにリンクされたロールは、ApsaraDB RDS for PostgreSQLのデータベースプロキシ機能を承認するために使用されます。 RDSインスタンスのデータベースプロキシ機能を有効にすると、コンソールでロールを作成できます。 詳細については、「データベースプロキシ機能の有効化」をご参照ください。

ロールの削除

サービスにリンクされたロールを削除する前に、サービスにリンクされたロールに依存するデータベースプロキシ機能を無効にする必要があります。

関連する API 操作

CreateServiceLinkedRoleを呼び出して、ApsaraDB RDSインスタンスのサービスにリンクされたロールを作成できます。 次の表で、関連パラメーターについて説明します。

パラメーター

説明

RegionId

インスタンスが存在するリージョンのID。 DescribeRegions を呼び出して、最新のリージョンリストをクエリできます。

cn-hangzhou

ServiceLinkedRole

サービスにリンクされたロールの名前。

  • AliyunServiceRoleForRds: ApsaraDB RDS for MySQLのサービスにリンクされたロール

  • AliyunServiceRoleForRdsPgsqlOnEcs: ApsaraDB RDS for PostgreSQLのサービスにリンクされたロール。

  • AliyunServiceRoleForRDSProxyOnEcs: ApsaraDB RDS for PostgreSQLのデータベースプロキシ機能のサービスにリンクされたロール。

AliyunServiceRoleForRdsPgsqlOnEcs