Container Registryインスタンスのカスタムドメイン名を使用してSSL証明書にアクセスして管理する場合は、Container RegistryインスタンスのAlibaba CloudアカウントにRAMロールを追加し、RAMロールにSSL証明書に対する操作を実行する権限を付与します。 このように、Container Registryは安全な方法でSSL証明書にアクセスできます。 このトピックでは、カスタムドメイン名を使用してSSL証明書を管理する前に、RAMロールに権限を付与する方法について説明します。
ステップ1: RAMロールの作成
Container Registryインスタンスのカスタムドメイン名を使用してSSL証明書にアクセスする前に、Container RegistryインスタンスのAlibaba CloudアカウントにAliyunContainerRegistryCustomizedDomainRoleという名前のロールを作成する必要があります。
RAM ユーザとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 .
ロールページをクリックします。ロールの作成.
ロールの作成ページを選択します。Alibaba Cloudアカウント[ロールタイプの選択] セクションで、次へ.
RAM Role NameパラメーターをAliyunContainerRegistryCustomizedDomainRoleに設定し、必要に応じてNoteパラメーターを設定します。 [信頼できるAlibaba Cloudアカウントの選択] パラメーターに [現在のAlibaba Cloudアカウント] を選択します。 [OK] をクリックします。
説明[その他のAlibaba Cloudアカウント] を選択した場合、別のAlibaba CloudアカウントのIDを入力します。
ステップ2: RAMロールにポリシーをアタッチする
AliyunYundunCertReadOnlyAccessポリシーをRAMロールにアタッチする必要があります。 このポリシーは、RAMロールにSSL証明書の読み取り権限を付与します。
RAM ユーザとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 .
ロールページをクリックします。権限付与で、アクションAliyunContainerRegistryCustomizedDomainRoleロールに対応する列です。
[権限付与] パネルで、[リソーススコープ] を [アカウント] に設定し、[ポリシー] 検索ボックスに [AliyunYundunCertReadOnlyAccess] と入力して検索し、[AliyunYundunCertReadOnlyAccess] を選択します。
説明右側の [選択済み] セクションで、ポリシーの右側の十字 (×) をクリックしてポリシーを削除できます。
[権限付与] をクリックします。
閉じる.
手順3: RAMロールの信頼ポリシーを設定する
RAMロールの信頼ポリシーにContainer Registryを追加します。 これにより、Container RegistryからSSL証明書へのアクセスが許可されます。
RAM ユーザとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 .
ロールページの [AliyunContainerRegistryCustomizedDomainRole] をクリックします。ロール名列を作成します。
信頼ポリシータブをクリックします。信頼ポリシーの編集.
信頼ポリシーの編集パネル、次の内容をコードエディターにコピーし、OK.
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "cr.aliyuncs.com" ] } } ], "Version": "1" }