Alibaba cloudのアカウントとクラウドリソースのセキュリティを確保するため、必要な場合を除き、Alibaba Cloudアカウントを使用してElastic GPU Serviceにアクセスしないことを推奨します。 RAMユーザーとRAMロールを含むResource Access Management (RAM) IDを使用し、ポリシーをアタッチしてIDの権限を管理できます。 これにより、リソースのアクセスセキュリティを効果的に制御できます。
RAMを使用してアクセス制御を実装する場合、Elastic GPU Serviceは、Elastic Compute service (ECS) と同じID、ポリシー、およびサービスにリンクされたロールをサポートします。 このトピックでは、ID、ポリシー、およびサービスにリンクされたロールについて説明します。
アイデンティティ
RAMユーザーとRAMロールに、Alibaba Cloudアカウント内のリソースにアクセスして管理する権限を付与できます。 詳細については、「アイデンティティ」をご参照ください。
ポリシー
システムポリシーとカスタムポリシーの種類がサポートされています。 RAM IDにポリシーをアタッチして、ポリシーで指定されたアクセス権限を付与できます。
システムポリシー: システムポリシーはAlibaba Cloudによって作成、更新、管理されます。 システムポリシーは使用できますが、変更することはできません。 詳細については、「ECSのシステムポリシー」をご参照ください。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを作成、更新、および削除できます。 詳細については、「ECSのカスタムポリシー」をご参照ください。
サービスにリンクされたロール
サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである RAM ロールです。 Elastic GPU Serviceは、サービスにリンクされたロールを使用して、他のクラウドサービスまたはリソースにアクセスします。 詳細については、「サービスにリンクされたロール」をご参照ください。
RAMロールベースのKMSキーへのアクセス権限付与
Key Management Service (KMS) キーを使用してディスク、スナップショット、イメージなどのECSリソースを暗号化する場合は、RAMロールを使用してECSにKMSキーへのアクセスを許可する必要があります。 暗号化されたスナップショットまたはイメージを他のAlibaba Cloudアカウントと共有する場合は、まず共有アカウントにKMSキーにアクセスする権限を付与する必要があります。 詳細については、「RAMロールを介したKMSキーへのアクセスの付与」をご参照ください。