すべてのプロダクト
Search
ドキュメントセンター

Container Registry:RAMユーザーにカスタムポリシーをアタッチする

最終更新日:Dec 12, 2024

権限をきめ細かく制御したい場合は、カスタムポリシーを作成し、そのカスタムポリシーをRAMユーザーにアタッチできます。 このトピックでは、RAMユーザーにカスタムポリシーをアタッチする方法について説明します。 次の例では、RAMユーザーにContainer Registry Enterprise Editionインスタンスの名前空間に対する読み取りおよび書き込み権限が付与されています。

カスタマイズポリシーの作成

  1. RAM ユーザとしてRAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、権限 > ポリシー.

  3. ポリシーページをクリックします。ポリシーの作成.

  4. ポリシーの作成ページをクリックし、JSONタブをクリックします。

  5. 次のスクリプトをコードエディターにコピーし、実際の値を使用してスクリプト内のinstanceidnamespaceを置き換えます。

    RAMユーザーにさらに多くの権限を付与する場合は、Container Registryの認証ルールを参照して、ActionおよびResourceパラメーターを設定します。 ポリシー構文の詳細については、「ポリシー構造と構文」をご参照ください。

    説明

    ポリシーコンテンツのアスタリスク (*) は、ワイルドカードとして使用されます。 たとえば、cr:ListInstance * は、cr:ListInstanceで始まるすべてのアクションがRAMユーザーに付与されることを示します。 acs:cr:*:*:repository/$instanceid/$namespace/*acs:cr:*:*:: repository/cri-123456/ns/* に設定した場合、すべてのリージョンでIDがcri-123456されているインスタンスのns名前空間に対するすべての権限がRAMユーザーに付与されます。

    {
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "cr:ListInstance*",
            "cr:GetInstance*",
            "cr:ListSignature*"
          ],
          "Resource": "*"
        },
        {
          "Action": [
            "cr:*"
          ],
          "Effect": "Allow",
          "Resource": [
            "acs:cr:*:*:repository/$instanceid/$namespace/*",
            "acs:cr:*:*:repository/$instanceid/$namespace"
          ]
        },
        {
          "Action": [
            "cr:List*"
          ],
          "Effect": "Allow",
          "Resource": [
            "acs:cr:*:*:repository/$instanceid/*",
            "acs:cr:*:*:repository/$instanceid/*/*"
          ]
        }
      ],
      "Version": "1"
    }
  6. [OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[名前][説明] パラメーターを設定します。

カスタムポリシーをRAMユーザーにアタッチする

  1. RAM ユーザとしてRAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

  3. ユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。

    image

    複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。

  4. 権限付与パネルで、RAMユーザーに権限を付与します。

    1. [リソーススコープ] パラメーターを設定します。

    2. Principalパラメーターを設定します。

      プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。

    3. Policyパラメーターを設定します。

      ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。

      • システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。

        説明

        システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。

      • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。

    4. [権限付与] をクリックします。

  5. 閉じる.

説明

RAMユーザーとしてContainer Registryコンソールにログインした後、RAMユーザーがアクセスを許可されている名前空間で操作を実行できます。 たとえば、イメージをビルド、プッシュ、プルできます。