Resource Access Management (RAM) ユーザーは、さまざまなレベルの権限を付与するためにRAMポリシーをアタッチできる仮想アカウントです。 これにより、より安全で制御可能なアクセスが保証され、Alibaba CloudアカウントのAccessKeyペアが開示されるリスクが軽減されます。 このトピックでは、RAMユーザーに権限を付与する方法と、Cloud Assistantのサンプルポリシーについて説明します。
背景情報
RAMポリシーは、ユーザーが作成したカスタムポリシーまたはAlibaba Cloudが提供するシステムポリシーです。 Alibaba Cloudアカウントを使用して、Elastic Compute Service (ECS) インスタンス、Cloud Assistantコマンド、またはマネージドインスタンスアクティベーションコードに対するリージョン固有の権限と権限を定義するカスタムポリシーを作成し、そのポリシーをRAMユーザーにアタッチできます。
手順
Alibaba Cloudアカウントを使用してRAMユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
Alibaba Cloudアカウントを使用して、カスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」をご参照ください。
次の表に、Cloud Assistant関連のカスタムポリシーのサンプルを示します。
ポリシータイプ
サンプルカスタムポリシー
Cloud Assistantの権限を含むポリシー
Cloud Assistant Agentに対する権限を含むポリシー
Cloud Assistantコマンドに対する権限を含むポリシー
ファイル転送の権限を含むポリシー
操作コンテンツと結果配信に対する権限を含むポリシー
管理対象インスタンスの権限を含むポリシー
セッションマネージャーの権限を含むポリシー
Alibaba Cloudアカウントを使用して、作成したRAMユーザーにポリシーをアタッチします。
詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
作成したカスタムポリシーをアタッチします。
Alibaba Cloudが提供する次のシステムポリシーをアタッチします。
AliyunECSAssistantFullAccess: RAMユーザーにCloud Assistantを管理する権限を付与します。
AliyunECSAssistantReadonlyAccess: RAMユーザーにCloud Assistantの読み取り専用権限を付与します。
RAMコンソールにログインして、システムポリシーとポリシーの詳細を表示できます。 詳細については、「ポリシーに関する基本情報の表示」をご参照ください。
RAMユーザーにAlibaba Cloud管理コンソールへのログイン権限があるかどうかを確認します。
RAMユーザーにコンソールアクセス権限がない場合、RAMユーザーはAPI操作を呼び出すことによってのみクラウドアシスタントを使用できます。 詳細については、「RAMユーザーの権限の表示」をご参照ください。
RAMユーザーとしてAlibaba Cloud管理コンソールにログインします。
詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。
RAMユーザーとしてECSコンソールにログインし、ECSクラウドアシスタントページに移動し、クラウドアシスタントを使用します。
Cloud Assistant固有のサンプルカスタムポリシー
Cloud Assistantの管理者 (読み取りおよび書き込み) 権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはCloud Assistant API操作に対するすべてのクエリ権限と管理権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*",
"acs:ecs:*:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}Cloud Assistantの読み取り専用権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはCloud Assistant API操作に対するすべてのクエリ権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:DescribeCloudAssistant*",
"ecs:DescribeSendFileResults",
"ecs:DescribeManagedInstances",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:*:*:instance/*",
"acs:ecs:*:*:command/*",
"acs:ecs:*:*:activation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/*"
]
}
]
}Cloud Assistantのリージョン固有の権限
Resource要素でリージョンフィールドを指定して、特定のリージョンのRAMユーザーの権限を制限できます。 次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーには中国 (杭州) リージョンでのみCloud Assistantを使用する権限が付与されます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeTag*",
"ecs:*Command",
"ecs:DescribeCommand*",
"ecs:DescribeInvocation*",
"ecs:StopInvocation",
"ecs:*CloudAssistant*",
"ecs:SendFile",
"ecs:DescribeSendFileResults",
"ecs:*ManagedInstance",
"ecs:DescribeManagedInstances",
"ecs:*Activation",
"ecs:DescribeActivations",
"ecs:ListPluginStatus",
"ecs:ModifyInvocationAttribute",
"ecs:StartTerminalSession",
"ecs:DescribeTerminalSessions"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:instance/*",
"acs:ecs:cn-hangzhou:*:command/*",
"acs:ecs:cn-hangzhou:*:activation/*",
"acs:ecs:cn-hangzhou:*:invocation/*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"archiving.ecs.aliyuncs.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings",
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:cn-hangzhou:*:servicesettings/*"
]
}
]
}Cloud Assistant Agent固有のサンプルカスタムポリシー
[インストールステータスのCloud Assistant Agent] を照会する権限
API操作: DescribeCloudAssistantStatus
次のサンプルポリシーをRAMユーザーにアタッチすると、すべてのECSインスタンスでCloud Assistant Agentのインストールステータスを照会する権限がRAMユーザーに付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーを使用すると、RAMユーザーは指定されたインスタンスでのみCloud Assistant Agentのインストールステータスを照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeInstances", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx000a", "acs:ecs:*:*:instance/i-instancexxx000b" ] } ] }
インストール権限Cloud Assistant Agent
API操作: InstallCloudAssistant
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのECSインスタンスにCloud Assistant Agentをインストールする権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたインスタンスにのみCloud Assistant Agentをインストールできます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InstallCloudAssistant" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
Cloud Assistantコマンド固有のサンプルカスタムポリシー
Cloud Assistantコマンドを表示する権限
API操作: DescribeCommands
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのCloud Assistantコマンドを照会する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Resource要素でコマンドIDを指定して、特定のコマンドに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定したコマンドのみを照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCommands" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Cloud Assistantコマンドを削除する権限
API操作: DeleteCommand
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーにはすべてのCloud Assistantコマンドを削除する権限が付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Resource要素でコマンドIDを指定して、特定のコマンドに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定したコマンドのみを削除できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeleteCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Cloud Assistantコマンドの作成権限
API操作: CreateCommand
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーにはCloud Assistantコマンドを作成する権限が付与されます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateCommand"
],
"Resource": [
"acs:ecs:*:*:command/*"
]
}
]
}Cloud Assistantコマンドを変更する権限
API操作: ModifyCommand
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのCloud Assistantコマンドを変更する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/*" ] } ] }Resource要素でコマンドIDを指定して、特定のコマンドに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定したコマンドのみを変更できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx000a", "acs:ecs:*:*:command/c-commandxxx000b" ] } ] }
Cloud Assistantコマンドの実行権限
API操作: InvokeCommand
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのインスタンスでCloud Assistantコマンドを実行する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*" 、 "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたインスタンスでのみCloud Assistantコマンドを実行できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/*" 、 "acs:ecs:*:*:instance/i-instancexxx00a" 、 "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }Resource要素でコマンドIDを指定して、特定のコマンドに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーはインスタンスで指定されたコマンドのみを実行できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b", "acs:ecs:*:*:instance/*" ] } ] }Resource要素でコマンドIDとインスタンスIDの両方を指定して、特定のインスタンスと特定のコマンドに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたインスタンスで指定されたコマンドのみを実行できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:InvokeCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }
Cloud Assistantコマンドを同時に作成および実行する権限
API操作: RunCommand
RunCommand操作を呼び出すときにKeepCommandパラメーターをtrueに設定した場合、"acs::ecs:*:*:command/*" 行をResource要素に追加する必要があります。
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーには、すべてのインスタンスでCloud Assistantコマンドを同時に作成および実行する権限が付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーを使用すると、RAMユーザーは指定したインスタンスでのみCloud Assistantコマンドを同時に作成および実行できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: RunCommand" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a" 、 "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
コマンド実行結果を照会する権限
API操作: DescribeInvocations
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのインスタンスでコマンド実行結果を照会する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ 「ecs: DescribeInvocations」 ], "Resource": [ "acs:ecs:*:*:instance/*" 、 "acs:ecs:*:*:command/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたインスタンスでのみコマンドの実行結果を照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ 「ecs: DescribeInvocations」 ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a" 、 "acs:ecs:*:*:instance/i-instancexxx00b" 、 "acs:ecs:*:*:command/*" ] } ] }Resource要素でコマンドIDを指定して、特定のコマンドに対する権限を制限できます。 次のサンプルポリシーを使用すると、RAMユーザーはインスタンスで指定されたコマンドの実行結果のみを照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }Resource要素でコマンドIDとインスタンスIDの両方を指定して、特定のインスタンスと特定のコマンドに対する権限を制限できます。 次のサンプルポリシーを使用すると、RAMユーザーは指定したインスタンスで指定したコマンドの実行結果のみを照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs: DescribeInvocations" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b", "acs:ecs:*:*:command/c-commandxxx00a", "acs:ecs:*:*:command/c-commandxxx00b" ] } ] }
スケジュールされたタスクの実行情報を変更する権限
API操作: ModifyInvocationAttribute
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーには、すべてのスケジュール済みタスクの実行情報を変更し、すべてのインスタンスをスケジュール済みタスクに追加する権限が付与されます。
InvokeCommandまたはRunCommand操作を呼び出すときに、
CommandContentパラメーターの値を変更し、KeepCommandパラメーターをtrueに設定すると、コマンドが追加されて保持されます。 この場合、ModifyInvocationAttribute操作を呼び出す前に、acs:ecs:*:*:command/*行をResource要素に追加する必要があります。{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] }[リソース] 要素でタスクIDを指定して、特定のタスクに対する権限を制限できます。 次のサンプルポリシーを使用すると、RAMユーザーは指定したタスクの実行情報のみを変更し、指定したタスクにインスタンスを追加できます。
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }Resource要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーを使用すると、RAMユーザーはすべてのスケジュール済みタスクの実行情報を変更し、指定したインスタンスのみをスケジュール済みタスクに追加できます。
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/*" ], "Effect": "Allow" } ] }Resource要素でインスタンスIDとタスクIDを指定して、特定のインスタンスとタスクに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたタスクの実行情報のみを変更し、指定されたインスタンスのみをスケジュールされたタスクに追加できます。
{ "Version": "1", "Statement": [ { "Action": "ecs:ModifyInvocationAttribute", "Resource": [ "acs:ecs:*:*:instance/i-instance-xxx", "acs:ecs:*:*:invocation/task-xxx" ], "Effect": "Allow" } ] }
Cloud Assistantコマンドの実行を停止する権限
API操作: StopInvocation
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのインスタンスでCloud Assistantコマンドの実行を停止する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたインスタンスでのみCloud Assistantコマンドの実行を停止できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StopInvocation" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
ファイルアップロード固有のサンプルカスタムポリシー
オンプレミスファイルのアップロード権限
API操作: SendFile
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはオンプレミスファイルをすべてのインスタンスにアップロードする権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたインスタンスにのみオンプレミスファイルをアップロードできます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:SendFile" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
ファイルアップロード操作の結果を照会する権限
API操作: DescribeSendFileResults
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのインスタンスへのファイルアップロード操作の結果を照会する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたインスタンスに対してのみファイルアップロード操作の結果を照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeSendFileResults" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a" 、 "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
操作コンテンツと結果配信固有のサンプルカスタムポリシー
操作コンテンツと結果の配信設定を照会および変更する権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーは操作コンテンツと結果配信設定を照会および変更する権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings" 、
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}操作コンテンツと結果配信の設定を照会する権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーは操作コンテンツと結果配信設定を照会する権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/cloudassistantdeliverysettings"
]
}
]
}操作コンテンツと結果配信に対するリージョン固有の権限
Resource要素でリージョンIDを指定して、RAMユーザーのリージョン権限を制限できます。
次のサンプルポリシーをRAMユーザーにアタッチすると、中国 (杭州) リージョンでのみ操作コンテンツと結果配信設定を照会および変更する権限がRAMユーザーに付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings" 、 "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }次のサンプルポリシーをRAMユーザーにアタッチすると、中国 (杭州) リージョンでのみ操作コンテンツと結果配信設定を照会する権限がRAMユーザーに付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/cloudassistantdeliverysettings" ] } ] }
セッションレコードの配信設定を照会および変更する権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはセッションレコード配信設定を照会および変更する権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings" 、
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}セッションレコード配信設定を照会する権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはセッションレコード配信設定を照会する権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/sessionmanagerdeliverysettings"
]
}
]
}セッションレコード配信に対するリージョン固有の権限
Resource要素でリージョンIDを指定して、RAMユーザーのリージョン権限を制限できます。
次のサンプルポリシーをRAMユーザーにアタッチすると、中国 (杭州) リージョンでのみセッションレコードの配信設定を照会および変更する権限がRAMユーザーに付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyCloudAssistantSettings" 、 "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }次のサンプルポリシーをRAMユーザーにアタッチすると、中国 (杭州) リージョンでのみセッションレコード配信設定を照会する権限がRAMユーザーに付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeCloudAssistantSettings" ], "Resource": [ "acs:ecs:cn-hangzhou:*:servicesettings/sessionmanagerdeliverysettings" ] } ] }
OSSバケットを照会する権限
O&Mタスク実行レコードまたはセッションレコードをRAMユーザーとしてOSS (Object Storage Service) に配信する場合、RAMユーザーにOSSバケットを照会する権限を付与する必要があります。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:ListBuckets"
],
"Resource": "*"
}
]
}O&Mタスク実行レコードまたはセッションレコードをOSSに配信した後、クエリと分析の目的でOSSのRAMポリシーについて学習する必要があります。 詳細については、「RAMポリシー」および「RAMポリシーの一般的な例」をご参照ください。
Simple Log Serviceプロジェクトとログストアを照会する権限
RAMユーザーとしてSimple Log ServiceにO&Mタスク実行レコードまたはセッションレコードを配信する場合、RAMユーザーにSimple Log ServiceプロジェクトおよびLogstoreを照会する権限を付与する必要があります。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:ListProject"、
"log:ListLogStores"
],
"Resource": "*"
}
]
}O&Mタスク実行レコードまたはセッションレコードをSimple Log Serviceに配信した後、クエリと分析の目的でSimple Log ServiceのRAMポリシーについて学習する必要があります。 詳細については、「RAM認証ルールの概要」をご参照ください。
マネージドインスタンス固有のサンプルカスタムポリシー
マネージドインスタンスの登録解除権限
API操作: DeregisterManagedInstance
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのマネージドインスタンスの登録を解除する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたマネージドインスタンスのみを登録解除できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DeregisterManagedInstance" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a" 、 "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
マネージインスタンスを照会する権限
API操作: DescribeManagedInstances
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのマネージドインスタンスを照会する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたマネージドインスタンスのみを照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeManagedInstances" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a" 、 "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }
アクティベーションコードの作成権限
API操作: CreateActivation
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはアクティベーションコードを作成し、そのアクティベーションコードを使用してAlibaba Cloudによって提供されていないサーバーをAlibaba Cloudマネージドインスタンスとして登録する権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:CreateActivation"
],
"Resource": [
"acs:ecs:*:*:activation/*"
]
}
]
}アクティベーションコードを無効にする権限
API操作: DisableActivation
次のサンプルポリシーをRAMユーザーにアタッチすると、Alibaba Cloudマネージドインスタンスの登録に使用されるすべてのアクティベーションコードを無効にする権限がRAMユーザーに付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーを使用すると、RAMユーザーは指定したマネージインスタンスのアクティベーションコードのみを無効にできます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DisableActivation" ], "Resource": [ "acs:ecs:*:*:activation/*****-***** A" 、 "acs:ecs:*:*:activation/*****-***** B" ] } ] }
アクティベーションコードを照会する権限
API操作: DescribeActivations
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーには、作成したアクティベーションコードとアクティベーションコードの使用状況を照会する権限が付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ 「ecs:DescribeActivations」 ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは指定されたマネージインスタンスのアクティベーションコードとアクティベーションコードの使用状況のみを照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ 「ecs:DescribeActivations」 ], "Resource": [ "acs:ecs:*:*:activation/*****-***** A" 、 "acs:ecs:*:*:activation/*****-***** B" ] } ] }
アクティベーションコードを削除する権限
API操作: DeleteActivation
次のサンプルポリシーをRAMユーザーにアタッチすると、使用されていないすべてのアクティベーションコードを削除する権限がRAMユーザーに付与されます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ 「ecs:DeleteActivation」 ], "Resource": [ "acs:ecs:*:*:activation/*" ] } ] }Resource要素でインスタンスIDを指定して、特定のアクティベーションコードに対する権限を制限できます。 次のサンプルポリシーでは、RAMユーザーは、使用されていない指定されたアクティベーションコードのみを削除できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ 「ecs:DeleteActivation」 ], "Resource": [ "acs:ecs:*:*:activation/*****-***** A" 、 "acs:ecs:*:*:activation/*****-***** B" ] } ] }
Cloud Assistant Agentのアップグレードに固有のサンプルカスタムポリシー
API操作: ModifyCloudAssistantSettingsおよびDescribeCloudAssistantSettings
Cloud Assistant Agentのアップグレード設定を照会および変更する権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはCloud Assistant Agentのアップグレード設定を照会および変更する権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:ModifyCloudAssistantSettings" 、
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Cloud Assistant Agentのアップグレード設定を照会する権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはCloud Assistant Agentのアップグレード設定を照会する権限を持ちます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeCloudAssistantSettings"
],
"Resource": [
"acs:ecs:*:*:servicesettings/AgentUpgradeConfig"
]
}
]
}Session Manager固有のサンプルカスタムポリシー
API操作: StartTerminalSessionおよび DescribeTerminalSessions
Session Managerセッションレコードを作成および照会する権限
次のサンプルポリシーをRAMユーザーにアタッチすると、RAMユーザーはSession Managerセッションレコードを作成および照会する権限を持ちます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ] }[リソース] 要素でインスタンスIDを指定して、特定のインスタンスに対する権限を制限できます。 次のサンプルポリシーを使用すると、RAMユーザーは指定されたインスタンスでのみSession Managerセッションレコードを作成および照会できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession", "ecs:DescribeTerminalSessions" ], "Resource": [ "acs:ecs:*:*:instance/i-instancexxx00a", "acs:ecs:*:*:instance/i-instancexxx00b" ] } ] }