Tablestore サービスリンクロールの作成、表示、削除 - Tablestore

Tablestore のデータ配信機能を使用するには、オブジェクトストレージサービス (OSS) リソースにアクセスするための権限が必要です。OSS リソースへのアクセス権限を付与するために、システムは Tablestore コンソールで Tablestore サービスリンクロール AliyunServiceRoleForOTSDataDelivery を自動的に作成します。

背景情報

サービスリンクロールとは、信頼エンティティが Alibaba Cloud サービスであるリソースアクセス管理 (RAM) ロールです。Tablestore は、他のクラウドサービスまたはリソースにアクセスするためにサービスリンクロールを担います。

ほとんどの場合、操作を実行すると、サービスリンクロールが自動的に作成されます。システムがサービスリンクロールの作成に失敗した場合、または Tablestore がサービスリンクロールの自動作成をサポートしていない場合は、サービスリンクロールを手動で作成できます。

RAM は、各サービスリンクロールのシステムポリシーを提供します。システムポリシーは変更できません。特定のサービスリンクロールのシステムポリシーに関する情報を表示するには、ロールの詳細ページに移動します。

説明

サービスリンクロールの詳細については、サービスリンクロールを参照してください。

シナリオ

Tablestore のデータ配信機能を使用すると、Tablestore は OSS リソースへのアクセスを Tablestore に許可するために、サービスリンクロール AliyunServiceRoleForOTSDataDelivery を自動的に作成します。

サービスリンクロールを使用するための RAM ユーザーに必要な権限

RAM ユーザーとしてサービスリンクロールを作成または削除する場合、管理者に連絡して AliyunXXXFullAccess ポリシーを RAM ユーザーにアタッチするか、カスタムポリシーの Action 要素で次の権限を指定する必要があります。

サービスリンクロールの作成に必要な権限: ram:CreateServiceLinkedRole
サービスリンクロールの削除に必要な権限: ram:DeleteServiceLinkedRole

詳細については、サービスリンクロールの作成と削除に必要な権限を参照してください。

サービスリンクロールの作成

Tablestore のデータ配信機能を使用できるように、システムは Tablestore コンソールで Tablestore サービスリンクロール AliyunServiceRoleForOTSDataDelivery を自動的に作成します。

AliyunServiceRoleForOTSDataDelivery のポリシーは AliyunServiceRolePolicyForOTSDataDelivery です。このポリシーは、OSS リソースに対する PutObject、AbortMultipartUpload、PutObjectTagging、GetObject、および DeleteObjectTagging の操作をサポートしています。

サービスリンクロールに関する情報の表示

システムがサービスリンクロールを作成した後、RAM コンソールの [ロール] ページで AliyunServiceRoleForOTSDataDelivery を検索し、サービスリンクロールに関する次の情報を表示できます。

基本情報
AliyunServiceRoleForOTSDataDelivery ページの 基本情報 セクションでは、ロール名、作成時間、ARN、説明など、ロールに関する基本情報を表示できます。
権限
AliyunServiceRoleForOTSDataDelivery ページの権限タブで、ポリシー名をクリックして、ポリシーの内容とロールがアクセス権限を持つクラウドリソースを表示します。
信頼ポリシー
AliyunServiceRoleForOTSDataDelivery ページの 信頼ポリシー タブで、信頼ポリシーの内容を表示できます。信頼ポリシーは、RAM ロールの信頼エンティティを記述します。信頼エンティティとは、RAM ロールを担うことができるエンティティを指します。サービスリンクロールの信頼エンティティはクラウドサービスです。信頼エンティティを取得するには、サービスリンクロールの信頼ポリシーの Service フィールドの値を表示します。

サービスリンクロールの詳細の表示方法については、RAM ロールの情報の表示を参照してください。

サービスリンクロールの削除

AliyunServiceRoleForOTSDataDelivery サービスリンクロールを削除する前に、現在のアカウントのすべてのインスタンスでデータ配信機能が使用されていないことを確認してください。

重要

Tablestore サービスリンクロールを削除すると、現在のアカウントのデータは OSS に配信されなくなります。

サービスリンクロールを削除するには、次の手順を実行します。

RAM コンソールにログオンします。
左側のナビゲーションペインで、ID > ロール を選択します。
ロール ページで、検索ボックスに AliyunServiceRoleForOTSDataDelivery を入力し、アイコンをクリックするか、Enter キーを押します。
RAM ロールの アクション 列で、ロールの削除 をクリックします。
ロールの削除 ダイアログボックスで、ロール名を入力し、ロールの削除 をクリックします。
- 現在のアカウントのインスタンスでデータ配信機能が使用されている場合、AliyunServiceRoleForOTSDataDelivery サービスリンクロールを削除できません。ロールを削除するには、インスタンスから配信タスクを削除する必要があります。
- 現在のアカウントのインスタンスでデータ配信機能を使用していない場合は、ロールを削除できます。

FAQ

システムが RAM ユーザーの Tablestore サービスリンクロール AliyunServiceRoleForOTSDataDelivery を作成できないのはなぜですか？

システムは、必要な権限を持つユーザーに対してのみ Tablestore サービスリンクロールを作成します。Tablestore サービスリンクロールを RAM ユーザーに対して自動的に作成できない場合は、次のポリシーを RAM ユーザーにアタッチする必要があります。

Alibaba Cloud アカウント ID を実際のアカウント ID に置き換える必要があります。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"  // サービスリンクロールを作成するためのアクション
            ],
            "Resource": "acs:ram:*: Alibaba Cloud account ID:role/*", // リソースパス。アカウントIDを置き換える必要があります。
            "Effect": "Allow", // ポリシーの効果。許可または拒否を指定します。
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "arms.aliyuncs.com" // サービス名
                    ]
                }
            }
        }
    ],
    "Version": "1" // ポリシーのバージョン
}