システム ポリシーを使用して、すべてのApsaraDB for HBaseリソースに対する権限をRAMユーザーに付与できます。また、必要に応じてカスタム ポリシーを使用して、特定のインスタンスに対する特定の操作権限をRAMユーザーに付与することもできます。このトピックでは、RAM ポリシーをカスタマイズする方法について説明します。
ApsaraDB for HBaseリソースに対する権限をRAMユーザーに付与する
カスタムRAMポリシーの作成方法の詳細については、「カスタム ポリシーの作成」をご参照ください。
RAMを使用して、ApsaraDB for HBaseインスタンスのみに対する権限を付与できます。RAMを使用して権限を付与する場合、ポリシーの「リソース」フィールドでリソースを指定できます。
リソース タイプ | ポリシーにおけるリソース記述 |
dbinstance | acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid |
次の表に、パラメーターを示します。
パラメーター | 説明 |
regionid | リージョンのID。 |
accountid | Alibaba CloudアカウントのID。 |
dbinstanceid | インスタンスのID。 |
例
この例では、承認されたRAMユーザーは、すべてのインスタンスを表示し、インスタンスを作成し、指定されたインスタンスのストレージのみを拡張できます。ポリシーの有効期限は 2020 年 8 月 17 日です。
{
"Statement": [
{
"Action": [
"hbase:CreateCluster",
"hbase:ResizeDiskSize"
],
"Effect": "Allow",
"Resource": [
"acs:hbase:<regionid>:dbinstance:<accountid>/<dbinstanceid>"
],
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2020-08-17T23:59:59+08:00"
}
}
},
{
"Action": [
"hbase:Describe*"
],
"Effect": "Allow",
"Resource": [
"acs:hbase:<regionid>:dbinstance:<accountid>/<dbinstanceid>"
],
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2020-08-17T23:59:59+08:00"
}
}
}
],
"Version": "1"
}権限設定の詳細については、「ポリシーの構造と構文」をご参照ください。
ApsaraDB for HBase API操作の認証ルール
RAMユーザーとしてAPI操作を呼び出してリソースにアクセスする場合、ApsaraDB for HBaseは必要な権限が付与されているかどうかを確認します。 ApsaraDB for HBaseがチェックする権限は、API構文とAPI操作によって要求されるリソースによって決定されます。この例では、API操作は CreateCluster であり、認証ルールは acs:hbase:$regionid:$accountid:dbinstance/$dbinstanceid に適用されます。