Alibaba Cloudは、強力なきめ細かなアクセス制御を提供するリソースアクセス管理 (RAM) を提供します。 複数の部門またはロールがElastic Compute Service (ECS) リソースへのアクセスを必要とするエンタープライズシナリオに適しています。 部門別または役割固有の職務に基づいて異なるアクセス許可を割り当てることで、機密情報と主要なビジネスプロセスのセキュリティを確保できます。 職務を分離する戦略を実施することで、管理効率が向上するだけでなく、データ侵害のリスクも軽減されます。 このトピックでは、ECSリソースへのアクセスを制御するためのRAMユーザー権限を管理する方法について説明します。
シナリオ
企業がアプリケーションとサービスのホスティングにECSを使用していると仮定します。 マネージャーは、リソースの作成、リソース割り当ての調整、セキュリティポリシーの設定など、ECSリソースを完全に制御して、ITアーキテクチャの計画を監督します。 開発者は、プロジェクトの継続的なイテレーションと機能開発、プロジェクトのECSへのデプロイに重点を置いています。 オペレーターは、スナップショットの作成、イメージの生成、メンテナンススクリプトの実行により、システムの安定性を確保します。
これらのロールには、次の権限スキームを推奨します。
マネージャーには、インスタンスの作成、インスタンスのリリース、セキュリティグループルールの変更など、完全なECS操作権限が付与されます。
開発者はすべてのECSインスタンスの詳細を表示できますが、設定を変更することはできません。 運用タスクを実行するためにインスタンスにログオンする権限があります。
特定のリソースの作成は許可されますが、削除することはできません。 これらの権限には、スナップショットとイメージの生成、スクリプトの実行が含まれます。
手順
1. RAMユーザーの作成
Alibaba CloudアカウントでRAMコンソールにログインし、マネージャー、開発者、オペレーターの3人のRAMユーザーを作成します。 適切な権限を割り当てます。 これらのユーザーに対してコンソールログインが有効になっていることを確認します。 RAM ユーザーの作成
2. カスタムポリシーの作成
きめ細かいアクセス制御と管理のための3つのカスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」をご参照ください。
Manager_Policy
このポリシーは、完全なECS操作権限が付与されたマネージャーに対して定義されています。
{
"Version": "1",
"Statement": [
{
"Action": "ecs:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:CheckCanAllocateVpcPrivateIpAddress",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"bss:ModifyAgreementRecord"
],
"Resource": "*",
"Effect": "Allow"
}
]
}Developer_Policy
このポリシーは、特定のリソースに対する開発者の表示専用権限を指定し、Workbenchを使用したリモートECSログインを許可します。 開発者には、作成または変更の権限がありません。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:List*",
"ecs:Describe*",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"ecs-workbench:LoginInstance"
],
"Resource": "*"
}
]
}Operator_Policy
このポリシーは、リソースの表示、イメージとスナップショットの作成、およびコマンドの実行権限をオペレータに付与します。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:Describe*",
"ecs:AttachDisk",
"ecs:CreateSnapshot",
"ecs:CreateImage",
"ecs:RunCommand",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Effect": "Allow",
"Resource": "*"
}
]
}3. RAM ユーザーへの権限付与
RAMユーザーにカスタムポリシーをアタッチして、特定のリソースへのアクセスを管理します。 RAMユーザーが不正なアクションを実行した場合、権限を取り消すか、権限の範囲を縮小して、リスクを軽減できます。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
RAMユーザー | 付与するポリシー |
マネージャー | Manager_Policy |
開発者 | Developer_Policy |
演算子 | Operator_Policy |
4. アクセス制御の確認
RAMユーザーログインページに移動し、作成したRAMユーザーでサインインします。
ECSコンソールにログインし、ECSインスタンスの表示、インスタンスの作成、イメージの生成などの操作を実行して、アクセス制御が有効かどうかを確認します。
マネージャーとして
ECSインスタンスリストを表示できます。
ECSインスタンスを作成できます。
ECSインスタンスをリリースできます。
イメージを作成できます。
開発者として
ECSインスタンスリストを表示できます。
ECSインスタンスは作成できません。
イメージは作成できません。
ワークベンチを使用してECSインスタンスにログインし、インスタンスにコマンドを使用してプロジェクトをデプロイできます。
演算子として
ECSインスタンスリストを表示できます。
ECSインスタンスは作成できません。
イメージを作成できます。
関連ドキュメント
RAMはAlibaba Cloudが提供するサービスで、ユーザーIDとリソースアクセス権限を管理できます。 詳細については、「RAM の概要」、
RAMで多要素認証 (MFA) の使用状況と制限を確認できます。詳細については、「」をご参照ください。多要素認証とは何ですか?
ECSはさまざまなカスタムポリシーを提供しています。 詳細については、「ECSのカスタムポリシー」をご参照ください。
Workbenchを使用してECSインスタンスに接続する方法については、「Workbenchを使用してインスタンスに接続する」をご参照ください。