Container Registryインスタンスのカスタムドメイン名を使用してSSL証明書にアクセスして管理する場合は、Container RegistryインスタンスのAlibaba CloudアカウントにRAMロールを追加し、RAMロールにSSL証明書に対する操作を実行する権限を付与します。 このように、Container Registryは安全な方法でSSL証明書にアクセスできます。 このトピックでは、カスタムドメイン名を使用してSSL証明書を管理する前に、RAMロールに権限を付与する方法について説明します。
ステップ1: RAMロールの作成
Container Registryインスタンスのカスタムドメイン名を使用してSSL証明書にアクセスする前に、Container RegistryインスタンスのAlibaba CloudアカウントにAliyunContainerRegistryCustomizedDomainRoleという名前のロールを作成する必要があります。
にログインします。RAMコンソール管理者権限を持つRAMユーザーとして
左側のナビゲーションウィンドウで、.
ロールページをクリックします。ロールの作成.
ロールの作成ページを選択します。Alibaba Cloudアカウント[ロールタイプの選択] セクションで、次へ.
RAM Role NameパラメーターをAliyunContainerRegistryCustomizedDomainRoleに設定し、必要に応じてNoteパラメーターを設定します。 [信頼できるAlibaba Cloudアカウントの選択] パラメーターに [現在のAlibaba Cloudアカウント] を選択します。 [OK] をクリックします。
説明[その他のAlibaba Cloudアカウント] を選択した場合、別のAlibaba CloudアカウントのIDを入力します。
ステップ2: RAMロールにポリシーをアタッチする
AliyunYundunCertReadOnlyAccessポリシーをRAMロールにアタッチする必要があります。 このポリシーは、RAMロールにSSL証明書の読み取り権限を付与します。
にログインします。RAMコンソール管理者権限を持つRAMユーザーとして
左側のナビゲーションウィンドウで、.
RAMロールの管理ページで、検索ボックスにAliyunContainerRegistryCustomizedDomainRoleと入力してRAMロールを検索します。 AliyunContainerRegistryCustomizedDomainRoleに対応する [操作] 列で、[権限の追加] をクリックします。
[権限の追加] パネルで、ポリシータイプとして [システムポリシー] を選択します。 [権限付与ポリシー名] 列の [AliyunYundunCertReadOnlyAccess] をクリックします。
説明右側の [選択済み] セクションで、ポリシーの右側の十字 (×) をクリックしてポリシーを削除できます。
クリック閉じる.
手順3: RAMロールの信頼ポリシーを設定する
RAMロールの信頼ポリシーにContainer Registryを追加します。 これにより、Container RegistryからSSL証明書へのアクセスが許可されます。
にログインします。RAMコンソール管理者権限を持つRAMユーザーとして
左側のナビゲーションウィンドウで、.
ロールページの [AliyunContainerRegistryCustomizedDomainRole] をクリックします。ロール名列を作成します。
信頼ポリシータブをクリックします。信頼ポリシーの編集.
信頼ポリシーの編集パネル、次の内容をコードエディターにコピーし、OK.
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "cr.aliyuncs.com" ] } } ], "バージョン": "1" }