すべてのプロダクト
Search

このプロダクト

    OpenSearch:RAM ユーザーの作成と権限の付与

    ドキュメントセンター

    OpenSearch:RAM ユーザーの作成と権限の付与

    最終更新日:Dec 28, 2024

    Alibaba Cloud アカウントの認証情報を共有せずに、企業内でサービスへの共同アクセスを有効にするには、複数の RAM ユーザーを作成し、必要な権限のみを割り当てます。この方法により、認証情報の共有に伴うリスクが軽減され、セキュリティが強化されます。

    ユースケース

    次の 2 つのシナリオでは、RAM ユーザーを作成し、ビジネスオペレーションに必要な最小限の権限を付与する必要があります

    • RAM ユーザーが API/SDK 経由で検索開発コンソールサービスを呼び出す場合は、呼び出し元の ID 認証に AccessKey を使用します。

    • RAM ユーザーが OpenSearch 経由で検索開発コンソールを使用する場合の一般的なシナリオは次のとおりです。

      • RAM ユーザーに API キーを管理する権限を付与します。

        重要

        OpenSearch 検索開発コンソールでは、API キーは独立したワークスペースに存在します。RAM ユーザーがワークスペースの API キーを取得し (API キーが有効になっている)、サービスを呼び出すコードで API キーを設定すると、ユーザーは個別の承認なしで API/SDK 経由でワークスペース下のすべてのサービスを呼び出すことができます。

      • RAM ユーザーに、エクスペリエンスセンター を介してドキュメントの解析やスライスなどのサービスを迅速に体験する権限を付与します。

      • RAM ユーザーに、評価タスク管理を介して RAG チェーンの有効性を評価する権限を付与します。

    権限ポリシー

    システム権限ポリシー

    システム権限ポリシーは、Alibaba Cloud によって統一的に作成されます。ユーザーはそれらを使用することのみが可能で、変更することはできません。ポリシーのバージョン更新は Alibaba Cloud によって管理されます。OpenSearch 検索開発コンソールは、次の 2 つのシステム権限ポリシーを提供します。

    • AliyunOpenSearchFullAccess: OpenSearch サービスを管理するための権限。この権限ポリシーには、権限ポイントリストのすべての権限が含まれています。この権限ポリシーは、RAM ユーザーに慎重に付与してください。

    • AliyunOpenSearchReadOnlyAccess: OpenSearch サービスへの読み取り専用アクセスを許可します。このポリシーには、読み取り操作のためのすべてのコントロール API 権限 (List、Describe) と、権限ポイントリストに詳述されているトラフィック API 権限リスト内のすべての権限が含まれています。

    カスタム権限ポリシー

    きめ細かい権限管理を実現するために、カスタム権限ポリシーを作成します。

    権限ポイントリスト

    コントロール API 権限リスト

    操作カテゴリ

    API

    RAM アクション

    リソース

    説明

    ワークスペース

    CreateWorkspace

    searchplat:WriteWorkspace

    workspaces/*

    ワークスペースの作成

    UpdateWorkspace

    searchplat:WriteWorkspace

    workspaces/{workspaceName}

    ワークスペースの更新

    GetWorkspace

    searchplat:DescribeWorkspace

    workspaces/{workspaceName}

    ワークスペースの詳細の取得

    ListWorkspaces

    searchplat:ListWorkspaces

    workspaces/*

    ワークスペースリストの取得

    アクセス認証情報

    CreateCredentials

    searchplat:WriteCredentials

    workspaces/{workspaceName}

    アクセス認証情報の作成

    DeleteCredentials

    searchplat:WriteCredentials

    workspaces/{workspaceName}

    アクセス認証情報の削除

    UpdateCredentials

    searchplat:WriteCredentials

    workspaces/{workspaceName}

    アクセス認証情報の更新

    GetCredentials

    searchplat:DescribeCredentials

    workspaces/{workspaceName}

    アクセス認証情報詳細の取得

    ListCredentials

    searchplat:DescribeCredentials

    workspaces/{workspaceName}

    アクセス認証情報リストの取得

    残りの無料クォータの計算

    GetMeasure

    searchplat:DescribeMeasure

    workspaces/{workspaceName}

    ワークスペースの残りの無料サービスクォータを取得します。

    説明

    OpenSearch 検索開発コンソールを初めてアクティブ化すると、クラウドアカウントには 100 件の無料サービスコールが付与されます。

    体験データ

    CreateExperienceData

    searchplat:WriteExperienceData

    workspaces/{workspaceName}

    体験データの追加

    DeleteExperienceData

    searchplat:WriteExperienceData

    workspaces/{workspaceName}

    体験データの削除

    GetExperienceData

    searchplat:DescribeExperienceData

    workspaces/{workspaceName}

    体験データ詳細の取得

    ListExperienceData

    searchplat:DescribeExperienceData

    workspaces/{workspaceName}

    体験データリストの取得

    非同期タスク

    CreateAsyncTask

    searchplat:WriteAsyncTask

    workspaces/{workspaceName}

    非同期タスクの作成

    GetAsyncTask

    searchplat:DescribeAsyncTask

    workspaces/{workspaceName}

    非同期タスク詳細の取得

    ListAsyncTasks

    searchplat:DescribeAsyncTask

    workspaces/{workspaceName}

    非同期タスクリストの取得

    効果評価

    CreateRagEvaluatorTask

    searchplat:WriteEvaluation

    workspaces/{workspaceName}

    評価タスクの作成

    GetRagEvaluatorTask

    searchplat:DescribeEvaluation

    workspaces/{workspaceName}

    評価タスク詳細の取得

    ListRagEvaluatorTasks

    searchplat:DescribeEvaluation

    workspaces/{workspaceName}

    評価タスクリストの取得

    DeleteRagEvaluatorTask

    searchplat:WriteEvaluation

    workspaces/{workspaceName}

    評価タスクの削除

    トラフィック API 権限リスト

    API

    アクション

    リソース

    説明

    GetTextEmbedding

    searchplat:GetTextEmbedding

    workspaces/{workspaceName}

    単語埋め込みサービス

    GetTextSparseEmbedding

    searchplat:GetTextSparseEmbedding

    workspaces/{workspaceName}

    テキストスパース埋め込みサービス

    CreateDocumentAnalyzeTask

    searchplat:CreateDocumentAnalyzeTask

    workspaces/{workspaceName}

    非同期ドキュメント解析サービスリクエストの作成

    DescribeDocumentAnalyzeTask

    searchplat:DescribeDocumentAnalyzeTask

    workspaces/{workspaceName}

    非同期ドキュメント解析結果サービスの取得

    GetDocumentAnalysis

    searchplat:GetDocumentAnalysis

    workspaces/{workspaceName}

    同期ドキュメント解析結果サービスの取得

    GetDocumentSplit

    searchplat:GetDocumentSplit

    workspaces/{workspaceName}

    ドキュメントスライスサービス

    GetDocumentRank

    searchplat:GetDocumentRank

    workspaces/{workspaceName}

    ソートサービス

    GetTextGeneration

    searchplat:GetTextGeneration

    workspaces/{workspaceName}

    コンテンツ生成大規模モデルサービス

    GetImageAnalysis

    searchplat:GetImageAnalysis

    workspaces/{workspaceName}

    同期画像解析結果サービスの取得

    GetQueryAnalysis

    searchplat:GetQueryAnalysis

    workspaces/{workspaceName}

    クエリ分析サービス

    手順

    手順 1: RAM ユーザーの作成

    RAM ユーザーは、固定の ID と認証情報を持つ物理的な ID です。RAM ユーザーは、個人またはアプリケーションを表します。RAM ユーザーには、次の特性があります。

    • RAM ユーザーは、Alibaba Cloud アカウントによって作成できます。この場合、RAM ユーザーは Alibaba Cloud アカウントに属します。RAM ユーザーは、管理権限を持つ RAM ユーザーまたは RAM ロールによっても作成できます。この場合、RAM ユーザーは、RAM ユーザーまたは RAM ロールを作成した Alibaba Cloud アカウントに属します。

    • RAM ユーザーはリソースを所有しません。RAM ユーザーのリソース使用料は、RAM ユーザーが属する Alibaba Cloud アカウントに請求されます。RAM ユーザーは個別の請求書を受け取らず、支払いを行うことはできません。

    • RAM ユーザーが Alibaba Cloud 管理コンソールにログオンしたり、操作を呼び出したりするには、Alibaba Cloud アカウントによって承認される必要があります。RAM ユーザーが承認されると、RAM ユーザーは Alibaba Cloud アカウントが所有するリソースにアクセスできます。

    • RAM ユーザーは、ログオン用の独立したパスワードまたは AccessKey ペアを持っています。

    • 1 つの Alibaba Cloud アカウントで複数の RAM ユーザーを作成できます。RAM ユーザーは、企業内の従業員、システム、およびアプリケーションを表すために使用できます。

    詳細については、RAM ユーザーの作成を参照してください。

    手順 2: カスタム権限ポリシーの作成

    一般的な最小権限の組み合わせ例を参照し、権限ポイントリストから権限ポイントを選択して、ビジネス最小権限ポリシーに組み合わせます。カスタム承認ポリシーの作成の詳細については、カスタム権限ポリシーの作成を参照してください。

    手順 3: RAM ユーザーの承認

    RAM ユーザーに RAM のシステムポリシーまたはカスタムポリシーを付与すると、RAM ユーザーはポリシー内の対応する権限で Alibaba Cloud リソースにアクセスできます。最小権限の原則に従い、RAM ユーザーに必要な権限を必要に応じて付与することをお勧めします。承認の詳細については、RAM ユーザーの承認を参照してください。

    説明

    RAM ユーザーの権限設定または更新後、5 分の遅延の後で有効になります。

    一般的な最小権限の組み合わせ例

    例 1: RAM ユーザーがワークスペースリストの表示、残りの無料サービスクォータの表示、およびデフォルトスペースでのドキュメントスライスサービスの呼び出しを許可します。対応する承認ポリシーは次のとおりです。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "searchplat:ListWorkspaces",
            "Resource": "acs:searchplat:*:*:workspaces/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "searchplat:DescribeWorkspace",
                "searchplat:GetDocumentSplit",
                "searchplat:DescribeMeasure"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/default"
        }
    ]
}

    例 2: RAM ユーザーがワークスペースリストの表示、残りの無料サービスクォータの表示、デフォルトスペースでの API キーの管理、およびドキュメントスライスサービスの呼び出しを許可します。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "searchplat:ListWorkspaces"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "searchplat:DescribeWorkspace",
                "searchplat:WriteCredentials",
                "searchplat:GetDocumentSplit",
                "searchplat:DescribeCredentials",
                "searchplat:DescribeMeasure"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/default"
        }
    ]
}