すべてのプロダクト
Search
ドキュメントセンター

:システム権限ポリシーをRAMユーザーまたはRAMロールにアタッチする

最終更新日:Dec 19, 2024

デフォルトでは、Resource Access Management (RAM) ユーザーには、Alibaba CloudサービスのAPIを呼び出す権限がありません。 RAMユーザーとして、またはRAMロールを引き受けて、Distributed Cloud Container Platform for Kubernetes (ACK One) を使用する場合は、RAMユーザーまたはRAMロールにACK Oneリソースの管理権限を付与する必要があります。 たとえば、フリートインスタンスの作成、クラスターの関連付け、およびワークフロークラスターの作成権限を付与する必要があります。 ACK Oneは、グローバルな読み取りおよび書き込み権限を制御するデフォルトのシステム権限ポリシーを提供します。 このトピックでは、システム権限ポリシーをRAMユーザーまたはRAMロールにアタッチする方法について説明します。

使用上の注意

Alibaba CloudアカウントまたはRAM管理者アカウントを使用して、RAMユーザーまたはRAMロールに権限を付与する必要があります。 RAMユーザーを使用して権限を付与することはできません。

ACK Oneがサポートするシステム権限ポリシー

RAMシステムポリシー

権限

クラスター関連

登録済みクラスター

フリートインスタンス

ワークフロークラスター

AliyunAdcpFullAccess

すべてのACK Oneリソースに対する読み取りおよび書き込み権限を提供します。

対象

対象

対象

AliyunAdcpReadOnlyAccess

すべてのACK Oneリソースに対して読み取り専用の権限を提供します。

対象

対象

対象

AliyunCSFullAccess

すべてのContainer Service for Kubernetes (ACK) リソースに対する読み取りおよび書き込み権限を提供します。

対象

必須

非対象

AliyunCSReadOnlyAccess

すべてのACKリソースに対して読み取り専用の権限を提供します。

対象

必須

非対象

AliyunVPCReadOnlyAccess

作成するACKクラスターの仮想プライベートクラウド (VPC) を指定する権限を提供します。

対象

対象

対象

AliyunECIReadOnlyAccess

ポッドをelasticコンテナインスタンスにスケジュールする権限を提供します。

対象

対象

対象

AliyunLogReadOnlyAccess

作成するACKクラスターのログを保存したり、ACKクラスターの構成検査情報を表示したりする既存のログプロジェクトを選択する権限を提供します。

対象

対象

対象

AliyunARMSReadOnlyAccess

ACKクラスターのManaged Service for Prometheusプラグインのモニタリングデータを表示する権限を提供します。

対象

対象

対象

AliyunRAMReadOnlyAccess

既存のRAMポリシーを表示する権限を提供します。

対象

対象

対象

AliyunECSReadOnlyAccess

クラウド内の既存のノードをACKクラスターに追加したり、ノードの詳細を表示したりする権限を提供します。

必須

任意

不可

AliyunContainerRegistryReadOnlyAccess

Alibaba Cloudアカウント内のアプリケーションイメージを表示する権限を提供します。

必須

任意

不可

AliyunAHASReadOnlyAccess

クラスタートポロジ機能を使用するための権限を提供します。

必須

任意

不可

AliyunYundunSASReadOnlyAccess

ACKクラスターのランタイムモニタリングデータを表示する権限を提供します。

必須

任意

不可

AliyunKMSReadOnlyAccess

ACKクラスターを作成するときにシークレット暗号化機能を有効にする権限を提供します。

必須

任意

不可

AliyunESSReadOnlyAccess

ノードプールを表示、変更、スケールする権限など、クラウドでノードプール関連の操作を実行する権限を提供します。

必須

任意

不可

RAMユーザーまたはRAMロールへの権限付与

  1. RAMコンソールRAM管理者としてログインします。

  2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

  3. ユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。

    image

    複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。

  4. では、権限付与パネルで、RAMユーザーに権限を付与します。

    1. [リソーススコープ] パラメーターを設定します。

    2. Principalパラメーターを設定します。

      プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。

    3. Policyパラメーターを設定します。

      ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。

      • システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。

        説明

        システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。

      • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。

    4. [権限付与] をクリックします。

関連ドキュメント

RAMシステムのアクセス許可ポリシーを使用して、ACK Oneリソースのアクセス許可のみを制御できます。 RAMユーザーまたはRAMロールが指定されたクラスター内のKubernetesリソースを管理する必要がある場合 (GitOpsアプリケーションやワークフローの作成など) 、RAMユーザーまたはRAMロールに、ACK One Fleetインスタンス、ワークフロークラスター、およびその名前空間に対するrole-Based Access Control (RBAC) 権限を付与する必要があります。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。