RAM ユーザーとして Image Search にアクセスする前に、RAM ユーザーに権限を付与する必要があります。 このトピックでは、Image Search にアクセスするために、RAM ユーザーに権限を付与する方法について説明します。

このタスクについて

Resource Access Management (RAM) は、Alibaba Cloud が提供するユーザーとそのアクセス権限を制御するサービスです RAM を使用すると、個人、システム、アプリケーションなどの RAM ユーザーを作成および管理できます。 RAM ユーザーの権限を管理して、Alibaba Cloud リソースへのアクセスを制御できます。 企業内の複数のユーザーが同じリソースにアクセスする必要がある場合は、RAM を使用して、これらのユーザーに最小限の権限を付与できます。 これにより、Alibaba Cloudアカウントの AccessKey ペアをこれらのユーザーと共有する必要がなくなり、セキュリティリスクが軽減されます。

概要

RAM ユーザーとして Image Search にアクセスする前に、RAM ユーザーに権限を付与する必要があります。 次のポリシーを使用して、権限をを付与できます。
  • 一般ポリシー
  • カスタムポリシー
RAM ユーザーに一般ポリシーをアタッチすることを推奨します。 これにより、複雑な設定を回避できます。 一般ポリシーがビジネスニーズを満たすことができない場合、カスタムポリシーを作成できます。

RAM ユーザー認証をサポートするリージョン

次の表に、Image Search の RAM ユーザーに権限を付与できるリージョンを示します。
リージョン リージョン ID
中国 (上海) cn-shanghai
シンガポール ap-southeast-1
中国 (香港) cn-hongkong
日本 (東京) ap-northeast-1
ドイツ(フランクフルト) eu-central-1

一般ポリシー

Image Search では、次の 2 種類の一般ポリシーを提供しています。 ビジネスニーズに基づいて、一般ポリシーを選択できます。
  • AliyunImagesearchReadOnlyAccess:Image Search にアクセスするための読み取り専用権限。 この権限は、読み取り専用ユーザーに付与できます。
  • AliyunImagesearchFullAccess:Image Search を管理する権限。 この権限は管理者に付与できます。
  1. RAM コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[権限] から [付与] をクリックします。
  3. [権限の付与] をクリックします。
    権限の付与
  4. [プリンシパル] セクションで、RAM ユーザーの名前または ID を入力して、RAM ユーザーを検索します。 次に、RAM ユーザーを選択します。
  5. 左側の [承認ポリシー名] 列で、RAM ユーザーにアタッチするポリシーをクリックします。
    Image Search は、次の 2 種類の一般ポリシーを提供しています。 ビジネスニーズに基づいて、一般ポリシーを選択できます。
    • AliyunImagesearchReadOnlyAccess:Image Search にアクセスするための読み取り専用権限。 この権限は、読み取り専用ユーザーに付与できます。
    • AliyunImagesearchFullAccess: Image Search を管理する権限。 この権限は管理者に付与できます。
    RAM 認証 ー 一般ポリシー

カスタムポリシー

Image Search はインスタンスのみをリソースタイプとしてサポートしています。 ポリシーのリソースは、次の方法で指定する必要があります。
  • リソースタイプ:インスタンス
  • 承認ポリシーでリソースが指定される形式:acs:imagesearch:$regionid:$accountid:instance/$instance
    • $regionid : Image Search が存在するリージョンの ID。 このオプションが不要な場合は、ワイルドカード文字として、アスタリスク ( *) を使用できます。
    • $accountid :Alibaba Cloud のアカウント ID。例: 123456789012**** 。 ID が不要または使用できない場合は、代わりにアスタリスク ( *) を使用できます。
    • $instance :demo123 などのインスタンスの名前。 インスタンス名が不要または使用できない場合は、代わりにアスタリスク ( *) を使用できます。
表 1. さまざまなリソースに対する操作権限
リソース 操作
instance/* 次の操作権限について説明します。
  • ClearInstance:すべてのインスタンスをクリアします。
  • DescriptionInstance:インスタンスの詳細を表示します。
  • IncreaseInstance::インスタンスを 1 つ増やします。
  • InitInstance:インスタンスを初期化します。
  • RemoveInstance:インスタンスを削除します。
  • ListInstance:インスタンスリストを表示します。
  • SearchItem:プロダクトまたは画像を検索します。
  • DeleteItem:プロダクトまたは画像を削除します。
  • AddItem:プロダクトまたは画像を追加します。
  • ListIncrement:インスタンスの増分を表示します。
  • TagResources:特定のリソースにタグをアタッチします。
  • UntagResources:特定のリソースからタグを切り離します。
instance/$instance 次の操作権限について説明します。
  • ClearInstance:すべてのインスタンスをクリアします。
  • DescriptionInstance:インスタンスの詳細を表示します。
  • IncreaseInstance::インスタンスを 1 つ増やします。
  • InitInstance:インスタンスを初期化します。
  • RemoveInstance:インスタンスを削除します。
  • SearchItem:プロダクトまたは画像を検索します。
  • DeleteItem:プロダクトまたは画像を削除します。
  • AddItem:プロダクトまたは画像を追加します。
  • ListIncrement:インスタンスの増分を表示します。
  • TagResources:特定のリソースにタグをアタッチします。
  • UntagResources:特定のリソースからタグを切り離します。
  1. RAM コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[権限] から [ポリシー] をクリックします。
  3. [ポリシー] ページで [ポリシーの作成] をクリックします。
    ポリシーの作成
  4. [カスタムポリシーの作成] ページで、カスタムポリシーを作成するためのパラメーターを指定します。
    [ポリシー名] フィールドに、Imagesearch_ram などのポリシー名を入力します。 [説明] フィールドに、ポリシーの説明を入力します。 [設定モード] パラメーターを [スクリプト] に設定し、ポリシーの内容を入力します。RAM 認証 ー カスタムポリシー
  5. 左側のナビゲーションウィンドウで、[権限] から [付与] をクリックします。
  6. [権限の付与] をクリックします。
    権限の付与
  7. [プリンシパル] セクションで、RAM ユーザーの名前または ID を入力して、RAM ユーザーを検索します。 次に、RAM ユーザーを選択します。
  8. 左側の [承認ポリシー名] 列で、RAM ユーザーにアタッチするポリシーをクリックします。
    次の図は、imagesearch_ram という名前のポリシーを RAM ユーザーにアタッチする方法を示しています。RAM 認証 ー カスタムポリシーの追加

カスタムポリシーの例

  • 例 1
    この例では、ポリシーは次の要件を満たしている必要があります。
    • Alibaba Cloud アカウントの ID は 1234 である。
    • リージョンは中国 (上海) である。
    • すべてのインスタンスにアクセスできる。
    • インスタンスをクリアおよび削除する権限を除くすべての権限は、Image Search コンソールで付与される。
    • 指定された IP アドレスが RAM ユーザーに接続できる。
    次のポリシー内容が提供されます。
    {
  "Statement": [
   {
     "Action": [
       "imagesearch:ListInstance",
       "imagesearch:DescribeInstance",
       "imagesearch:IncreaseInstance",
       "imagesearch:InitInstance",
       "imagesearch:ListIncrement"
     ],
     "Condition": {
       "IpAddress": {
         "acs:SourceIp": "xxx.xx.xxx.x/xx"
       }
     },
     "Effect": "Allow",
     "Resource": "acs:imagesearch:cn-shanghai:1234:instance/*"
   }
  ],
  "Version": "1"
}
  • 例 2
    この例では、ポリシーは次の要件を満たしている必要があります。
    • Alibaba Cloud アカウントの ID は 1234 である。
    • すべてのリージョンがサポートされている。
    • すべてのインスタンスにアクセスできる。
    • コンソールで操作を実行したり、すべての API 操作を呼び出すためのすべての権限が付与されている。
    次のポリシー内容が提供されます。
    {
  "Statement": [
   {
     "Action": [
         "imagesearch:*"
           ],
     "Effect": "Allow",
     "Resource": "acs:imagesearch:*:1234:instance/*"
   }
  ],
  "Version": "1"
}
  • 例 3
    この例では、ポリシーは次の要件を満たしている必要があります。
    • Alibaba Cloud アカウントの ID は 1234 である。
    • すべてのリージョンがサポートされている。
    • インスタンス名は instance12138 である。
    • 操作を実行するためのすべての権限が付与されている。
    次のポリシー内容が提供されます。
    {
  "Statement": [
   {
     "Action": [
         "imagesearch:*",
           ],
     "Effect": "Allow",
     "Resource": "acs:imagesearch:*:1234:instance/instance12138"
   }
  ],
  "Version": "1"
}