Elastic Container Instanceリソースを作成するときに、リソースごとにリソースグループを指定できます。 これにより、グループごとにリソースを管理できます。 このトピックでは、RAMユーザーにリソースグループに対する権限を付与する方法について説明します。 これにより、RAMユーザーは、権限を持つリソースグループ内のリソースのみを管理できます。
背景情報
リソースグループを使用して、Alibaba Cloudアカウントのリソースを分類および管理できます。 これにより、Alibaba Cloudアカウントのリソースと権限の管理が簡素化されます。 リソースグループを使用する场合は, 次の项目に注意してください。
リソースグループには、異なるリージョンのクラウドリソースを含めることができます。 たとえば、リソースグループAには、中国 (北京) および中国 (杭州) リージョンのインスタンスを含めることができます。
同じアカウント内の異なるリソースグループに属するリソースが同じリージョン内にある場合、それらのリソースを互いに関連付けることができる。 たとえば、リソースグループAの中国 (北京) リージョンのインスタンスを、リソースグループBの中国 (北京) リージョンの仮想プライベートクラウド (VPC) に追加できます。
リソースグループは、RAMユーザーのグローバル権限を継承します。 たとえば、RAMユーザーにすべてのAlibaba Cloudリソースの管理を許可した場合、RAMユーザーはAlibaba Cloudアカウントに属するすべてのリソースグループを表示できます。
シナリオ
Elastic Container Instanceリソースには、elastic containerインスタンスとイメージキャッシュが含まれます。 各Elastic Container Instanceリソースは、1つのリソースグループのみに属する必要があります。 Elastic Container Instanceリソースを作成するときに、リソースのリソースグループを指定できます。 リソースグループが指定されていない場合、リソースはデフォルトのリソースグループに追加されます。
Elastic Container Instanceリソースは、リソースを作成するときにのみ、指定されたリソースグループまたはデフォルトリソースグループに追加できます。 リソースグループを指定した後は変更できません。 リソースを削除すると、リソースはリソースグループから自動的に削除されます。
さまざまな目的で使用されるElastic Container Instanceリソースを特定のリソースグループに追加できます。 次に、これらのリソースグループの管理者として異なるRAMユーザーを指定して、分散型でリソースを管理できます。
たとえば、本番環境に1つのエラスティックコンテナインスタンスがあり、テスト環境にもう1つのインスタンスがある場合、2つのインスタンスを本番環境とテスト環境のそれぞれのリソースグループに追加できます。 次に、RAMユーザーAが本番環境のリソースグループ内のインスタンスに対して操作を実行する権限を付与し、RAMユーザーBがテスト環境のリソースグループ内の他のインスタンスに対して操作を実行する権限を付与します。 製品をテストするために、RAMユーザーBはテスト環境のリソースグループ内のインスタンスに対して操作を実行します。 製品を起動するために、RAMユーザーaは本番環境のリソースグループ内のインスタンスに対して操作を実行します。 2つの環境は、異なるRAMユーザーによって管理されます。 これにより、権限管理が容易になり、誤操作の回避に役立ちます。
手順
次のシナリオを例として使用します。Elastic Container Instanceリソースをグループ化するために2つのリソースグループが作成され、RAMユーザーは特定のリソースグループ内のリソースに対して操作を実行する権限が与えられます。
2つのリソースグループが作成されます。 1つは本番環境用に作成され、もう1つはテスト環境用に作成されます。
2人のRAMユーザーが作成されます。 RAMユーザーAには本番環境に対するAliyunECIFullAccess権限があり、RAMユーザーBにはテスト環境に対するAliyunECIFullAccess権限があります。
説明AliyunECIFullAccessは、Resource Access Management (RAM) が提供するシステムポリシーであり、Elastic Container Instanceリソースに対する操作を実行するためのすべての権限が含まれています。
手順は次のとおりです。
2つのリソースグループを作成します。 詳細については、「リソースグループの作成」をご参照ください。
2つのRAMユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
各RAMユーザーは, リソースグループだけの管理者として指定してください。 詳細については、「RAM権限の追加」をご参照ください。
2人のRAMユーザーに権限を付与する場合は、AliyunECIFullAccess権限を選択します。
リソースグループを指定したエラスティックコンテナインスタンスを作成します。
[elastic container instanceコンソールのインスタンス購入ページ] でエラスティックコンテナインスタンスを作成する場合は、[その他の設定 (オプション)] ページでリソースグループを指定します。
CreateContainerGroup操作を呼び出してエラスティックコンテナインスタンスを作成する場合は、ResourceGroupIdを渡してリソースグループIDを指定します。
想定される結果
期待される結果は次のとおりです。
Elastic Container Instanceコンソールでは、RAMユーザーは、ユーザーが権限を持つリソースグループ内のelastic containerインスタンスに対してのみ表示および操作を実行できます。
RAMユーザーが操作を呼び出した場合、RAMユーザーは、そのRAMユーザーが権限を持つリソースグループ内のエラスティックコンテナインスタンスに対してのみ表示および操作を実行できます。 次の操作は例として使用されます。
CreateContainerGroup
エラスティックコンテナインスタンスを作成するには、RAMユーザーが認証用のリソースグループIDを指定する必要があります。 リソースグループIDが指定されていない場合、または指定されたリソースグループIDが正しくない場合、認証は失敗します。
説明RAMユーザーが既定のリソースグループに対する権限を持っている場合、RAMユーザーはリソースグループIDを指定する必要はありません。 弾性コンテナインスタンスは、デフォルトでデフォルトのリソースグループに追加されます。
DescribeContainerGroups
エラスティックコンテナインスタンスに関する情報を照会するには、RAMユーザーが認証用のリソースグループIDを指定する必要があります。 リソースグループIDが指定されていない場合、または指定されたリソースグループIDが正しくない場合、認証は失敗します。
説明指定されたエラスティックコンテナインスタンスのIDがリソースグループIDと一致しない場合、エラスティックコンテナインスタンスはリソースグループに属していません。 この場合、RAMユーザーは、リソースグループIDが正しい場合でも、エラスティックコンテナインスタンスに関する情報を表示できません。
DescribeContainerLog
エラスティックコンテナインスタンスのログを照会するために、RAMユーザーはリソースグループIDを指定する必要はありません。 システムは、エラスティックコンテナインスタンスが属するリソースグループを自動的に取得し、リクエストを認証します。
DeleteContainerGroup
エラスティックコンテナインスタンスを削除するには、RAMユーザーはリソースグループIDを指定する必要はありません。 システムは、エラスティックコンテナインスタンスが属するリソースグループを自動的に取得し、リクエストを認証します。