Resource Access Management (RAM) コンソールで、RAMユーザーにApsaraDB for ClickHouseクラスターへのアクセスを許可できます。 ただし、RAMコンソールを使用して、ApsaraDB for ClickHouseクラスター内の特定のオブジェクトへのアクセスをRAMユーザーに許可することはできません。 このトピックでは、RAMユーザーにApsaraDB for ClickHouseクラスターの構成の表示を許可する手順について説明します。

このタスクについて

デフォルトでは、Alibaba Cloudアカウントを使用して作成されたApsaraDB for ClickHouseクラスターは、それらを作成するアカウントに属します。 Alibaba Cloudアカウントには、アカウントのリソースに対する完全な権限があります。

RAMを使用すると、Alibaba Cloudアカウント内に作成されたApsaraDB for ClickHouseクラスターに対するRAMユーザーのアクセス権限と管理権限を付与できます。

手順

  1. 権限を定義するポリシーを作成します。
    1. Alibaba Cloudアカウントを使用してRAMコンソールにログインします。
    2. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。
    3. [ポリシー] ページで [ポリシーの作成] をクリックします。 次に、[ポリシー名][メモ] を指定します。
    4. 設定モードをスクリプトに設定します。 コードエディターで、次の内容を入力します。
      { 
 "Statement": [
    {
      "Effect": "Allow",
      "Action": "clickhouse:*" 、
      "Resource": "acs:clickhouse:*:*: クラスターID"
    },
    {
      "Effect": "Allow",
      "Action": "clickhouse:DescribeDBClusters" 、
      "Resource": "*"
    }
  ],
  "バージョン": "1"
}
      • 上記のコードでは、2つの構成項目を使用して、特定のクラスターのRAMユーザーのすべての権限を表示する権限と、すべてのクラスターを表示する権限を定義しています。 RAMユーザーにApsaraDB for ClickHouseクラスターの設定を表示する権限を付与する必要がある場合は、上記のコードを使用して必要な権限を定義します。
      • スクリプトは、ApsaraDB for ClickHouseクラスターに対する権限を定義するポリシーの作成にのみ使用できます。 Visualizedモードは、ApsaraDB for ClickHouseではサポートされていません。
      スクリプトで使用されるパラメーターを次の表に示します。
      パラメーター 説明
      Effect ステートメントが明示的な許可または明示的な拒否をもたらすかどうかを指定します。 設定可能な値は以下のとおりです。
      • 許可
      • 拒否
      操作 指定されたリソースに対する操作。 1つ以上の操作を指定できます。 形式: <ram-code >:< action-name>
      • ram-code: Alibaba Cloudサービスを示すためにRAMで使用されるコード。 詳細については、RAM をサポートする Alibaba Cloud サービスの「RAMコード」列にリストされているコードをご参照ください。
        ram-codeclickhouseです。
      • action-name: API操作の名前。 でサポートされているAPI操作の詳細については、「t1903575.html#concept_2138886」をご参照ください。
      リソース 設定項目が有効になるオブジェクト。 形式: acs:<ram-code >:< region >:< account-id >:< relative-id>
      • acs: Alibaba Cloudサービスの略です。 acs値は、Alibaba cloudのパブリッククラウドを示します。
      • ram-code: Alibaba Cloudサービスを示すためにRAMで使用されるコード。 詳細については、RAM をサポートする Alibaba Cloud サービスの「RAMコード」列にリストされているコードをご参照ください。
        ram-codeclickhouseです。
      • region :リージョン情報。 リージョン情報が取得されない場合は、ワイルドカード文字 (*) を指定できます。
      • account-id: Alibaba CloudアカウントのID (例: 123456789012 ****) 。 IDが取得されない場合は、ワイルドカード文字 (*) を指定できます。
      • relative-id: サービス関連リソースの識別子。 この識別子は、使用するサービスによって異なります。
        クラスターのrelative-idはクラスターIDです。 これは、指定されたクラスターに対する権限を示します。 ワイルドカード文字 (*) を指定して、すべてのクラスターに対する権限を定義できます。
      Version ポリシーのバージョン。 デフォルト値:1。 値は変更できません。
    5. [OK] をクリックします。
  2. ポリシーをRAMユーザーにアタッチします。
    1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
      RAM ユーザーの作成方法については、「RAM ユーザーの作成」をご参照ください。
    2. ポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
    3. [ポリシーの選択] セクションで、[カスタムポリシー] をクリックし、作成したポリシーを検索して、ポリシーをクリックします。
    4. [OK] をクリックします。

関連ドキュメント

  • ApsaraDB For ClickHouseでサポートされているAPI操作の詳細については、「t1903575.html#concept_2138886」をご参照ください。
  • 権限ポリシーの基本要素については、「ポリシー要素」をご参照ください。