このトピックでは、VPN GatewayのサービスにリンクされたロールAliyunServiceRoleForVpnについて説明します。 トランジットルーターに関連付けられたVPNゲートウェイまたはIPsec-VPN接続を初めて作成すると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 このサービスにリンクされたロールにより、VPNゲートウェイはelastic network Interface (ENI) やセキュリティグループなどの他のクラウドリソースにアクセスできます。 これにより、VPNゲートウェイまたはIPsec-VPN接続を作成できます。
背景情報
Alibaba Cloudサービスは、機能を実装するために他のサービスにアクセスする必要がある場合があります。 この場合、Alibaba Cloudサービスは他のサービスへのアクセスを許可されている必要があります。 たとえば、ECS (Elastic Compute Service) およびApsaraDB RDSからリソースリストとログデータを取得するには、Cloud ConfigにECSおよびApsaraDB RDSのアクセス権限が必要です。 アリババクラウドは、サービスにリンクされたロールを提供し、サービスが他のサービスにアクセスすることを許可するプロセスを簡素化する。
サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである RAM ロールです。 サービスにリンクされたロールは、Alibaba Cloudサービス全体のアクセスを許可するために使用されます。 サービスにリンクされたロールは、リンクされたサービスのみが引き受けることができるRAMロールです。 ほとんどの場合、サービスは必要に応じてサービスにリンクされたロールを自動的に作成または削除します。 サービスにリンクされたロールは、サービスに他のサービスへのアクセスを許可するプロセスを簡素化し、誤操作によるリスクを軽減します。
サービスにリンクされたロールにアタッチされているポリシーは、リンクされたサービスによって定義されます。 ポリシーを変更または削除することはできません。 サービスにリンクされたロールにポリシーをアタッチまたはデタッチすることはできません。
詳細については、「サービスにリンクされたロール」をご参照ください。
サービスにリンクされたロールAliyunServiceRoleForVpnを作成する
トランジットルーターに関連付けられたVPNゲートウェイまたはIPsec-VPN接続を初めて作成すると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 このサービスにリンクされたロールは、VPNゲートウェイまたはIPsec-VPN接続の作成に役立ちます。 サービスにリンクされたロールAliyunServiceRoleForVpnが既に存在する場合、システムはそれを再度作成しません。
VPNゲートウェイの作成方法の詳細については、「VPNゲートウェイの作成と管理」をご参照ください。
IPsec-VPN接続の作成方法の詳細については、「IPsec-VPN接続の作成」または「VPN接続の作成」をご参照ください。
AliyunServiceRolePolicyForVpnという名前のポリシーが、サービスにリンクされたロールAliyunServiceRoleForVpnにアタッチされます。 このポリシーにより、VPNゲートウェイは一連の操作を実行できます。 ポリシーには、次の権限が含まれます。
{
"Version": "1",
"Statement": [
{
"Action": [
"vpc:DescribeVSwitchAttributes",
"vpc:TagResources",
"vpc:DescribeRouteTableList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:CreateNetworkInterface",
"ecs:CreateSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:RevokeSecurityGroup",
"ecs:DeleteSecurityGroup",
"ecs:JoinSecurityGroup",
"ecs:LeaveSecurityGroup",
"ecs:DescribeSecurityGroups",
"ecs:AttachNetworkInterface",
"ecs:DetachNetworkInterface",
"ecs:DeleteNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:CreateNetworkInterfacePermission",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:DeleteNetworkInterfacePermission",
"ecs:CreateSecurityGroupPermission",
"ecs:AuthorizeSecurityGroupPermission",
"ecs:RevokeSecurityGroupPermission",
"ecs:JoinSecurityGroupPermission",
"ecs:DeleteSecurityGroupPermission",
"ecs:LeaveSecurityGroupPermission",
"ecs:DescribeSecurityGroupPermissions",
"ecs:AttachNetworkInterfacePermissions",
"ecs:DetachNetworkInterfacePermissions",
"ecs:AssignPrivateIpAddresses",
"ecs:UnassignPrivateIpAddresses",
"ecs:DescribeNetworkInterfaceAttribute"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "vpn.aliyuncs.com"
}
}
}
]
}サービスにリンクされたロールAliyunServiceRoleForVpnを削除する
Alibaba Cloudアカウント内にVPNゲートウェイまたはIPsec-VPN接続が存在しない場合にのみ、サービスにリンクされたロールAliyunServiceRoleForVpnを削除できます。 詳細については、関連トピックの次のセクションを参照してください。
「VPNゲートウェイの作成と管理」トピックの [Delete a VPN gateway] セクション
「シングルトンネルモードでのIPsec-VPN接続の作成と管理」トピックの「IPsec-VPN接続の削除」セクション
「サービスにリンクされたロール」トピックの [サービスにリンクされたロール] セクションを削除する
よくある質問
Resource Access Management (RAM) ユーザーを使用して、サービスにリンクされたロールAliyunServiceRoleForVpnを作成できないのはなぜですか?
デフォルトでは、Alibaba Cloudアカウントは、サービスにリンクされたロールAliyunServiceRoleForVpnを作成する権限を与えられています。 RAMユーザーがサービスにリンクされたロールを作成する場合は、まずAlibaba Cloudアカウントを使用して、RAMユーザーに必要な権限を付与する必要があります。
カスタムポリシーを作成し、それをRAMユーザーにアタッチする必要があります。 その後、RAMユーザーはサービスにリンクされたロールAliyunServiceRoleForVpnを作成できます。 次のコードは例を提供します。 詳細については、「カスタマイズポリシーの作成」および「RAMロールへの権限付与」をご参照ください。
{
"Statement": [
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "vpn.aliyuncs.com"
}
}
}
],
"Version": "1"
}