Service Mesh (ASM) は、Resource Access Management (RAM) とロールベースアクセス制御 (RBAC) の両方の認証システムをサポートしています。このトピックでは、2 つの認証システムの概要と、ASM での使用法について説明します。
他のクラウドサービスにアクセスするための ASM の認証
すべての ASM 機能を使用するには、ASM が他のクラウドサービスにアクセスすることを承認する必要があります。たとえば、ASM を使用してデータプレーンのアクセスログを収集するには、ASM が Log Service にアクセスすることを承認する必要があります。 Log Service は、監査ログを保存するためのプロジェクトとログストアの作成に使用されます。 ASM は、サービスにリンクされたロールを使用して、クラウドサービスに対する権限を取得します。 ASM のサービスにリンクされたロールを作成し、そのロールを使用して ASM に必要な権限を付与する必要があります。詳細については、「ASM のサービスにリンクされたロールの管理」をご参照ください。
RAM ユーザー認証
RAM ユーザーとして ASM を使用する場合は、RAM および RBAC 認証システムを使用して、アカウントに必要な権限を付与する必要があります。
RAM 認証
RAM が企業アカウントシステムと統合されているシナリオでは、O&M エンジニアは多くの場合、RAM ユーザーとしてクラウド リソースを管理します。デフォルトでは、RAM ユーザーは Alibaba Cloud サービスの API を呼び出すことが許可されていません。 RAM ユーザーが API を呼び出すことを許可するには、RAM ユーザーに必要な権限を付与する必要があります。
RAM ユーザーに特定の権限を付与して、ASM コンソールで RAM ユーザーが実行できる操作と、RAM ユーザーが呼び出すことができる API を制限できます。これにより、クラウド リソースに対するきめ細かいアクセス制御が実装されます。詳細については、「RAM ユーザーと RAM ロールへの権限の付与」をご参照ください。
RBAC 認証
RBAC 認証は、ASM インスタンスに対する権限制御を実装し、RAM ユーザーによるカスタム ASM リソース (仮想サービスや宛先ルールなど) に対する操作を制限するために使用されます。 RAM ユーザーは、異なる ASM インスタンスに対して異なる RBAC 権限を持つことができます。
ASM は、異なる RBAC 権限に対応する 4 つの事前設定ロールを提供します。次の表は、ASM コンソールで RAM ユーザーに割り当てることができる事前設定ロールを示しています。
ロール | クラスタリソースに対する RBAC 権限 |
管理者 | すべての名前空間のすべてのカスタム ASM リソースに対する読み取りおよび書き込み権限があります。 |
Istio リソース管理者 | 指定された名前空間またはすべての名前空間の ASM ゲートウェイ (IstioGateway) を除くすべてのリソースに対する読み取りおよび書き込み権限があります。 |
制限付きユーザー | 指定された名前空間またはすべての名前空間の ASM コンソールに表示されるカスタム ASM リソースに対する読み取り専用権限があります。 |
権限なし | すべての名前空間のすべてのカスタム ASM リソースに対する読み取りまたは書き込み権限がありません。 |
RAM ユーザーへの権限の付与
RAM コンソールで RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。
必要に応じて、RAM ユーザーに RBAC 権限を付与します。詳細については、「RAM ユーザーと RAM ロールへの RBAC 権限の付与」をご参照ください。
必要に応じて、RAM ユーザーに RAM ポリシーをアタッチします。詳細については、「RAM ユーザーと RAM ロールへの権限の付与」をご参照ください。