デフォルトでは、Alibaba CloudアカウントまたはResource Access Management (RAM) ユーザーを使用して、Elastic Container Instanceリソースを管理できます。 ただし、Alibaba Cloudアカウント用にRAMユーザーが作成された場合、RAMユーザーにはAlibaba Cloudアカウント内のリソースを管理する権限がありません。 RAMユーザーを使用してElastic Container Instanceリソースを管理する前に、必要な権限をRAMユーザーに付与する必要があります。 このトピックでは、RAMユーザーに権限を付与する方法について説明します。
前提条件
RAM ユーザーを作成します。 RAMユーザーの作成方法については、「RAMユーザーの作成」をご参照ください。
背景情報
RAMユーザーにポリシーをアタッチして、ユーザー権限を付与できます。 Elastic Container Instanceに関連する以下の権限を付与できます。
AliyunECIReadOnlyAccess
Elastic Container Instanceリソースに対する読み取り専用権限を付与します。 これはデフォルトのシステムポリシーで、次の権限が含まれています。
eci:Describe *: Elastic Container Instanceリソースを照会する権限
eci:List *: Elastic Container Instanceリソースを照会する権限
ecs:DescribeSecurityGroups: セキュリティグループを照会するための権限
vpc:DescribeVSwitch: vSwitchをクエリする権限
vpc:DescribeVpcs: 仮想プライベートクラウド (vpc) を照会するための権限
AliyunECIFullAccess
Elastic Container Instanceリソースを管理する権限を付与します。 これはデフォルトのシステムポリシーで、次の権限が含まれています。
eci: Elastic Container Instanceリソースを管理するためのすべての権限
ecs:DescribeSecurityGroups: セキュリティグループを照会するための権限
vpc:DescribeVSwitch: vSwitchをクエリする権限
vpc:DescribeVpcs: vpcをクエリするためのアクセス許可
vpc:DescribeEipAddresses: elastic IPアドレス (EIP) を照会するための権限
Elastic Container Instanceコンソールで操作を実行するためのその他の権限
Elastic Container Instanceコンソールで操作を実行する場合は、AliyunECIFullAccessポリシーによって付与されたデフォルトの権限に加えて、次の権限が必要です。
ram:ListRoles: インスタンスのRAMロールを照会するための権限
nas:DescribeFileSystems: Apsara File Storage NASファイルシステムを照会する権限
oss:ListBuckets: Object Storage Service (OSS) バケットを照会する権限
vpc:DescribeCommonBandwidthPackages: EIP帯域幅プランを照会するための権限
cr:GetRepoList: イメージリポジトリを照会する権限
cr:GetRepoTags: リポジトリ内の画像のタグを照会する権限
cr:GetImageManifest: イメージに関するマニフェスト情報を照会する権限
cr:SearchRepo: 画像リポジトリを検索するための権限
手順
Alibaba Cloudアカウントを使用してRAMコンソールにログインします。
Elastic Container InstanceコンソールでElastic Container Instanceリソースを管理する権限をRAMユーザーに付与する場合は、対応するカスタムポリシーを作成する必要があります。
左側のナビゲーションウィンドウで、[権限]> [ポリシー] を選択します。
[ポリシー] ページで [ポリシーの作成] をクリックします。
[JSON] タブで、次のスクリプトをポリシーコンテンツにコピーし、[次のステップ] をクリックします。
{ "Statement": [ { "Action": "ram:ListRoles", "Effect": "Allow", "Resource": "*" }, { "アクション": "nas:DescribeFileSystems" 、 "Effect": "Allow", "Resource": "*" }, { "Action": "oss:ListBuckets", "Effect": "Allow", "Resource": "*" }, { "Action": "vpc:DescribeCommonBandwidthPackages" 、 "Effect": "Allow", "Resource": "*" }, { "Action": [ "cr:GetRepoList" 、 "cr:GetRepoTags" 、 "cr:GetImageManifest" 、 「cr:SearchRepo」 ], "Effect": "Allow", "Resource": "*" } ], "バージョン": "1" }[名前] フィールドにポリシー名を入力し、[OK] をクリックします。
必要に応じてRAMユーザーに権限を付与します。
左側のナビゲーションウィンドウで、[アイデンティティ]> [ユーザー] を選択します。
権限を付与するRAMユーザーを見つけて、[操作] 列の [権限の追加] をクリックします。
[権限の追加] パネルで、RAMユーザーにポリシーをアタッチするパラメーターを設定します。
下表にパラメーターを示します。
パラメーター
説明
許可されたスコープ
承認スコープ。
Alibaba Cloudアカウント: 権限は、現在のAlibaba Cloudアカウントに対して有効になります。
特定のリソースグループ: 権限は特定のリソースグループに対して有効になります。
Principal
権限を付与するRAMユーザー。 選択したRAMユーザーは、[プリンシパル] フィールドに自動的に入力されます。 別のRAMユーザーを指定することもできます。
ポリシーの選択
RAMユーザーにアタッチするポリシー。 ニーズに合ったポリシーを選択します。
RAMユーザーにElastic Container Instanceリソースのみを表示させる場合は、AliyunECIReadOnlyAccessシステムポリシーを選択します。
RAMユーザーがAPI操作を呼び出してElastic Container Instanceリソースを管理する場合は、AliyunECIFullAccessシステムポリシーを選択します。
RAMユーザーがElastic Container Instanceコンソールを使用してElastic Container Instanceリソースを管理する場合は、AliyunECIFullAccessシステムポリシーと手順2で作成したカスタムポリシーを選択します。
[OK] をクリックします。
権限付与の範囲とポリシーを確認し、[完了] をクリックします。