Container Service を有効化した際に、システムデフォルトのロールである、AliyunCSDefaultRole および AliyunCSClusterRole をサービスアカウントに対して付与します。 ロールが適切に付与された場合にのみ、Container Service により、ECS (Elastic Compute Servcie)、OSS (Object Storage Service)、NAS (Network Attached Storage) および SLB (Server Load Balancer) などのサービスが正常に呼び出され、クラスターの作成およびログの保存が正常に行われます。
説明
- 2018 年 1 月 15 日より前から Container Service をお使いの場合、デフォルトでシステムによりロールの権限付与が完了しています。 付与された権限についての詳細は以下の「デフォルトのロール権限」をご参照ください。 以前 RAM (Resource Access Management) ユーザー により Container Service をお使いの場合は、RAM ユーザーに関する権限付与ポリシーのアップグレードが必要です。 詳しくは、カスタム権限ポリシーの作成をご参照ください。
- 2018 年 1 月 15 日に Container Service によるサービス間の権限付与が行えるようになりました。 プライマリーアカウントを使う新しいユーザーは、サービス間の権限付与が完了した場合のみ、Container Service を使うことができます。 新しいユーザーが Conatiner Service を使うため RAM ユーザーを許可する必要がある場合、RAM コンソールから RAM ユーザーを許可する必要があります。 詳しい情報は、RAM ユーザーとしての Container Service コンソールの使用をご参照下さい。
手順
- 現在、サービスアカウントに対してデフォルトのロールが許可されていない場合、Container Service サービスへのログイン後に 「Cloud リソース アクセス権限付与」のページが表示されます。
[権限付与ポリシーの確認] をクリックします。
注 Container Service によりデフォルトのロールの権限が設定されます。 ロールの権限を変更するために、「ユーザー管理」ページの RAM コンソールに移動します。 誤った設定により、Container Service が必要な権限を得られない恐れがあるためご注意ください。 - 権限の付与が完了した後、Container Service コンソールを更新し、操作を実行します。
"AliyunCSDefaultRole" および "AliyunCSClusterRole" のポリシーの詳細を参照するため、RAM コンソールにログインします。
デフォルトでのロールの権限
それぞれのロールの権限についての詳細な情報は、それぞれのプロダクトの API ドキュメントをご参照ください。
AliyunCSDefaultRole の権限
デフォルトのロールである AliyunCSDefaultRole には以下の主要な権限が含まれます。
- ECS に関係する権限
| 動作 | 説明 |
|---|---|
| ecs:RunInstances | ECS インスタンスの情報の照会 |
| ecs:RenewInstance | ECS インスタンスの更新 |
| ecs:Create* | ECS に関係する、インスタンスやディスクなどのリソースの作成 |
| ecs:AllocatePublicIpAddress | パブリック IP アドレスの割り当て |
| ecs:AllocateEipAddress | EIP (Elastic IP) アドレスの割り当て |
| ecs:Delete* | ECS インスタンスの削除 |
| ecs:StartInstance | ECS インスタンスに関係するリソースの起動 |
| ecs:StopInstance | ECS インスタンスの停止 |
| ecs:RebootInstance | ECS インスタンスの再起動 |
| ecs:Describe* | ECS に関係するリソースの照会 |
| ecs:AuthorizeSecurityGroup | インバウンドセキュリティグループルールに関する設定 |
| ecs:RevokeSecurityGroup | セキュリティグループルールの取り消し |
| ecs:AuthorizeSecurityGroupEgress | アウトバウンドセキュリティグループルールの設定 |
| ecs:AttachDisk | ディスクの追加 |
| ecs:DetachDisk | ディスクのクリーンアップ |
| ecs:AddTags | タグの追加 |
| ecs:ReplaceSystemDisk | ECS インスタンスのシステムディスクの変更 |
| ecs:ModifyInstanceAttribute | ECS インスタンスの属性の変更 |
| ecs:JoinSecurityGroup | 指定したセキュリティグループへ ECS インスタンスの追加 |
| ecs:LeaveSecurityGroup | 指定したセキュリティグループからの ECS インスタンスの削除 |
| ecs:UnassociateEipAddress | EIP アドレスのバインドの解除 |
| ecs:ReleaseEipAddress | EIP アドレスのリリース |
- VPC (Virtual Private Cloud) に関係する権限
| 権限名 (動作) | 権限の説明 |
|---|---|
| vpc:Describe* | VPC に関係するリソース情報の照会 |
| vpc:DescribeVpcs | VPC に関する情報の照会 |
| vpc:AllocateEipAddress | EIP アドレスの割り当て |
| vpc:AssociateEipAddress | EIP アドレスとの関連付け |
| vpc:UnassociateEipAddress | EIP アドレスとの関連付けを行わない |
| vpc:ReleaseEipAddress | EIP アドレスのリリース |
| vpc:CreateRouteEntry | ルーターインターフェイスの作成 |
| vpc:DeleteRouteEntry | ルーターインターフェイスの削除 |
- SLB に関係した権限
| 動作 | 説明 |
|---|---|
| slb:Describe* | Server Load Balancer に関係する情報の照会 |
| slb:CreateLoadBalancer | Server Load Balancer インスタンスの作成 |
| slb:DeleteLoadBalancer | Server Load Balancer インスタンスの削除 |
| slb:RemoveBackendServers | Server Load Balancer インスタンスのバインドの解除 |
| slb:StartLoadBalancerListener | 指定したリスナーの起動 |
| slb:StopLoadBalancerListener | 指定したリスナーの停止 |
| slb:CreateLoadBalancerTCPListener | Server Load Balancer インスタンスの TCP ベースのリスニングルールの作成 |
| slb:AddBackendServers | バックエンドサーバーの追加 |
AliyunCSClusterRole の権限
デフォルトのロールである AliyunCSClusterRole には以下の主要な権限が含まれます。
- OSS に関係する権限
| 動作 | 説明 |
|---|---|
| oss: PutObject | ファイルまたはフォルダーオブジェクトのアップロード |
| oss: GetObject | ファイルまたはフォルダーオブジェクトの取得 |
| oss: ListObjects | ファイルリストの情報の照会 |
- NAS に関係する権限
| 動作 | 説明 |
|---|---|
| nas:Describe* | NAS に関係する情報の開示 |
| nas:CreateAccessRule | 権限に関するルールの作成 |
- SLB に関係する権限
| 動作 | 説明 |
|---|---|
| slb:Describe* | Server Load Balancer に関係する情報の照会 |
| slb:CreateLoadBalancer | Server Load Balancer インスタンスの作成 |
| slb:DeleteLoadBalancer | Server Load Balancer インスタンスの削除 |
| slb:RemoveBackendServers | Server Load Balancer インスタンスのバインドの解除 |
| slb:StartLoadBalancerListener | 指定したリスナーの開始 |
| slb:StopLoadBalancerListener | 指定したリスナーの停止 |
| slb:CreateLoadBalancerTCPListener | Server Load Balancer インスタンスの TCP ベースのリスニングルールの作成 |
| slb:AddBackendServers | バックエンドサーバーの追加 |
| slb:DeleteLoadBalancerListener | Server Load Balancer インスタンスのリスニングルールの削除 |
| slb:CreateVServerGroup | VServer グループの作成およびバックエンドサーバーの追加 |
| slb:ModifyVServerGroupBackendServers | VServer グループ内でのバックエンドサーバーの変更 |
| slb:CreateLoadBalancerHTTPListener | Server Load Balance インスタンスの HTTP ベースのリスナーの作成 |
| slb:SetBackendServers | バックエンドサーバーの設定および Server Load Balancer インスタンス バックエンドでの ECS インスタンスグループへの重み付け |
| slb:AddTags | Server Load Balancer インスタンスへのタグの追加 |