権限をきめ細かく制御したい場合は、カスタムポリシーを作成し、そのカスタムポリシーをRAMユーザーにアタッチできます。 このトピックでは、RAMユーザーにカスタムポリシーをアタッチする方法について説明します。 次の例では、RAMユーザーにContainer Registry Enterprise Editionインスタンスの名前空間に対する読み取りおよび書き込み権限が付与されています。
カスタマイズポリシーの作成
RAM ユーザとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 .
ポリシーページをクリックします。ポリシーの作成.
ポリシーの作成ページをクリックし、JSONタブをクリックします。
次のスクリプトをコードエディターにコピーし、実際の値を使用してスクリプト内の
instanceid
とnamespace
を置き換えます。RAMユーザーにさらに多くの権限を付与する場合は、Container Registryの認証ルールを参照して、
Action
およびResource
パラメーターを設定します。 ポリシー構文の詳細については、「ポリシー構造と構文」をご参照ください。説明ポリシーコンテンツのアスタリスク (
*
) は、ワイルドカードとして使用されます。 たとえば、cr:ListInstance *
は、cr:ListInstanceで始まるすべてのアクションがRAMユーザーに付与されることを示します。acs:cr:*:*:repository/$instanceid/$namespace/*
をacs:cr:*:*:: repository/cri-123456/ns/*
に設定した場合、すべてのリージョンでIDがcri-123456されているインスタンスのns名前空間に対するすべての権限がRAMユーザーに付与されます。{ "Statement": [ { "Effect": "Allow", "Action": [ "cr:ListInstance*", "cr:GetInstance*", "cr:ListSignature*" ], "Resource": "*" }, { "Action": [ "cr:*" ], "Effect": "Allow", "Resource": [ "acs:cr:*:*:repository/$instanceid/$namespace/*", "acs:cr:*:*:repository/$instanceid/$namespace" ] }, { "Action": [ "cr:List*" ], "Effect": "Allow", "Resource": [ "acs:cr:*:*:repository/$instanceid/*", "acs:cr:*:*:repository/$instanceid/*/*" ] } ], "Version": "1" }
[OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[名前] と [説明] パラメーターを設定します。
カスタムポリシーをRAMユーザーにアタッチする
RAM ユーザとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
権限付与パネルで、RAMユーザーに権限を付与します。
[リソーススコープ] パラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
ResourceGroup: 特定のリソースグループに対して権限付与が有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
Principalパラメーターを設定します。
プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。
Policyパラメーターを設定します。
ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。
説明システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
[権限付与] をクリックします。
閉じる.
RAMユーザーとしてContainer Registryコンソールにログインした後、RAMユーザーがアクセスを許可されている名前空間で操作を実行できます。 たとえば、イメージをビルド、プッシュ、プルできます。