デフォルトでは、Alibaba Cloud アカウントのみが Cloud Shell を使用できます。Resource Access Management (RAM) ユーザーが Cloud Shell を使用する必要がある場合は、RAM ユーザーを承認する必要があります。
手順
RAM 管理者として [RAM コンソール] にログオンします。
左側のナビゲーションペインで、 を選択します。
ユーザー ページで、必要な RAM ユーザーを見つけ、権限の追加 を アクション 列でクリックします。
複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。
権限の付与 パネルで、RAM ユーザーに権限を付与します。
リソース範囲 パラメーターを構成します。
アカウント: 承認は現在の Alibaba Cloud アカウントに有効です。
リソースグループ: 承認は特定のリソースグループに有効です。
重要リソース範囲パラメーターにリソースグループを選択した場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに権限を付与する方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
プリンシパルパラメーターを構成します。
プリンシパルは、権限を付与する RAM ユーザーです。現在の RAM ユーザーが自動的に選択されます。
ポリシーパラメーターを構成します。
ポリシーには、一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloud によって作成されたポリシーです。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は、Alibaba Cloud によって管理されます。詳細については、「RAM と連携するサービス」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess などの高リスクのシステムポリシーを自動的に識別します。高リスクのポリシーをアタッチすることによって、不要な権限を付与しないことをお勧めします。
カスタム ポリシー: ビジネス要件に基づいてカスタム ポリシーを管理および更新できます。カスタム ポリシーを作成、更新、および削除できます。詳細については、「カスタム ポリシーの作成」をご参照ください。
権限の付与 をクリックします。
閉じる をクリックします。
ビジネス要件に基づいて、Cloud Shell のシステムポリシーを選択します。Cloud Shell に対する完全な読み取りおよび書き込み権限が必要な場合は、AliyunCloudShellFullAccess ポリシーを選択します。
カスタムポリシー
Cloud Shell によって提供されるシステムポリシーは、粗粒度のポリシーです。きめ細かいアクセス制御を実現するには、カスタムポリシーを作成します。
カスタムポリシーを作成する前に、ポリシーの基本構造と構文をよく理解しておく必要があります。詳細については、「ポリシーの構造と構文」をご参照ください。
カスタムポリシーのアクション
アクション | 説明 |
cloudshell:CreateEnvironment | Cloud Shell インスタンス環境を作成します。 |
cloudshell:CreateSession | Cloud Shell セッション環境を作成します。 |
cloudshell:UploadFile | ローカルマシンから Cloud Shell にファイルをアップロードします。 |
cloudshell:DownloadFile | Cloud Shell からローカルマシンにファイルをダウンロードします。 |
cloudshell:AttachStorage | ストレージスペースを Cloud Shell にバインドします。 |
cloudshell:DetachStorage | Cloud Shell からストレージスペースのバインドを解除します。 |