RAMユーザーにカスタムポリシーをアタッチする - Container Registry

権限をきめ細かく制御したい場合は、カスタムポリシーを作成し、そのカスタムポリシーをRAMユーザーにアタッチできます。このトピックでは、RAMユーザーにカスタムポリシーをアタッチする方法について説明します。次の例では、RAMユーザーにContainer Registry Enterprise Editionインスタンスの名前空間に対する読み取りおよび書き込み権限が付与されています。

カスタマイズポリシーの作成

にログインします。RAMコンソール管理者権限を持つRAMユーザーとして
左側のナビゲーションウィンドウで、権限 > ポリシー.
ポリシーページをクリックします。ポリシーの作成.
ポリシーの作成ページをクリックし、JSONタブをクリックします。
次のポリシーの内容をコードエディターにコピーし、instanceidと名前空間実際の値を使用してポリシーコンテンツにポリシー情報を編集する次に.
RAMユーザーにさらに多くの権限を付与する場合は、Container Registryの認証ルールを参照して、ActionおよびResourceパラメーターを設定します。ポリシー構文の詳細については、「ポリシー構造と構文」をご参照ください。
説明
ポリシーコンテンツのアスタリスク (*) は、ワイルドカードとして使用されます。たとえば、cr:ListInstance * は、cr:ListInstanceで始まるすべてのアクションがRAMユーザーに付与されることを示します。 acs:cr:*:*:repository/$instanceid/$namespace/* をacs:cr:*:*:: repository/cri-123456/ns/* に設定した場合、すべてのリージョンでIDがcri-123456されているインスタンスのns名前空間に対するすべての権限がRAMユーザーに付与されます。
```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cr:ListInstance*",
        "cr:GetInstance*",
        "cr:ListSignature*"
      ],
      "Resource": "*"
    },
    {
      "Action": [
        "cr:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/$instanceid/$namespace/*",
        "acs:cr:*:*:repository/$instanceid/$namespace"
      ]
    },
    {
      "Action": [
        "cr:List*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:cr:*:*:repository/$instanceid/*",
        "acs:cr:*:*:repository/$instanceid/*/*"
      ]
    }
  ],
  "Version": "1"
}
```
Specify the　 Name and Description fields.
ClickOK.

カスタムポリシーをRAMユーザーにアタッチする

にログインします。RAMコンソールRAM管理者として
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
ユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
権限付与パネルで、RAMユーザーに権限を付与します。
1. Resource Scopeパラメーターを設定します。
  - アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
  - リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。
    重要
    [リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
2. Principalパラメーターを設定します。
  プリンシパルは、権限を付与するRAMユーザーです。現在のRAMユーザーが自動的に選択されます。
3. Policyパラメーターを設定します。
  ポリシーには、一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
  - システムポリシー: Alibaba Cloudによって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。詳細については、「RAMで動作するサービス」をご参照ください。
    説明
    システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
  - カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーは作成、更新、削除できます。詳細については、「カスタムポリシーの作成」をご参照ください。
4. [権限付与] をクリックします。
クリック閉じる.

説明

RAMユーザーとしてContainer Registryコンソールにログインした後、RAMユーザーがアクセスを許可されている名前空間で操作を実行できます。たとえば、イメージをビルド、プッシュ、プルできます。