RAMユーザーにE-MapReduce(EMR)コンソールを使用させたい場合は、RAMコンソールでAlibaba Cloudアカウントを使用して、必要な権限をRAMユーザーに付与する必要があります。
背景情報
RAMは、Alibaba Cloudが提供するリソースアクセス制御サービスです。詳細については、「RAMとは」をご参照ください。次の例では、EMRでアクセス制御を実装するためにRAMを使用する方法について説明します。
ユーザー: RAMユーザーを使用して、開発者やO&Mエンジニアなど、さまざまなロールに権限を付与できます。このように、異なるRAMユーザーは、異なるリソースにアクセスするための異なる権限を持ちます。
ユーザーグループ: 職務に基づいてRAMユーザーをグループ化し、ユーザーグループに権限を付与できます。これにより、複数のユーザーに同時に同じ権限を付与し、RAMユーザーとその権限の管理を簡素化できます。
ポリシー
次の表に、EMRで使用されるポリシーを示します。
ポリシー名 | 説明 | 権限 |
RAMユーザーにEMRへのフルアクセスを提供します。 | このポリシーにより、RAMユーザーはEMR on ECSページとEMR on ACKページのリソースに対してすべての操作を実行できます。 | |
RAMユーザーにEMRの読み取り専用権限を提供します。 | このポリシーにより、RAMユーザーはEMR on ECSページとEMR on ACKページのリソースを読み取ることができます。 | |
RAMユーザーにEMR OSS-HDFSへのフルアクセスを提供します。 | このポリシーにより、RAMユーザーはEMR OSS-HDFSのデータを管理できます。 | |
AliyunEMRDevelopAccess (非推奨) | RAMユーザーにEMRの開発者権限を提供します。 | このポリシーにより、RAMユーザーは、クラスターの作成またはリリース操作を除き、EMRクラスターに対するすべての操作を実行できます。 説明 2024年12月30日(UTC+8)から、EMRコンソールのデータ開発(旧)は、リージョンごとに段階的に廃止されます。 |
AliyunEMRFlowAdmin (非推奨) | RAMユーザーにEMRのデータプラットフォームモジュールに対する管理者権限を提供します。 | このポリシーにより、RAMユーザーはプロジェクトを作成し、ジョブを開発および管理できます。このポリシーでは、RAMユーザーはプロジェクトにメンバーを追加したり、クラスターを管理したりすることはできません。 説明 2024年12月30日(UTC+8)から、EMRコンソールのデータ開発(旧)は、リージョンごとに段階的に廃止されます。 |
手順
RAMコンソールでRAMユーザーにEMRリソースに対する権限を付与するには、次の手順を実行します。
Alibaba Cloudアカウント、または管理権限を持つRAMユーザーとして RAMコンソール にログインします。
左側のナビゲーションペインで、
を選択します。[ユーザー] ページで、必要なRAMユーザーを見つけ、権限の追加[アクション] 列の をクリックします。
複数のRAMユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度にRAMユーザーに権限を付与することもできます。
[権限の付与] パネルで、ビジネス要件に基づいて次のパラメーターを設定します。
パラメーター
説明
[リソーススコープ]
[アカウント]: このオプションを選択すると、権限は現在のAlibaba Cloudアカウントに適用されます。
[リソースグループ]: このオプションを選択すると、権限は指定されたリソースグループに適用されます。
[プリンシパル]
権限を付与するRAMユーザー。
[ポリシー]
ドロップダウンリストから [システムポリシー] を選択し、検索ボックスにEMRと入力してEMRシステムポリシーを検索し、必要なポリシーをクリックして [選択済みポリシー] セクションにポリシーを追加します。EMRポリシーの詳細については、「ポリシー」をご参照ください。
[権限の付与] をクリックします。
付与された権限はすぐに有効になります。権限を付与したRAMユーザーを使用してEMRコンソールにログインし、権限を確認できます。
説明RAMユーザーが権限を必要としなくなった場合は、RAMユーザーから権限を取り消すことができます。詳細については、「RAMユーザーからの権限の取り消し」をご参照ください。