リソースグループは、リソースベースのアクセス制御方法です。 同じ権限を付与するバケットを同じリソースグループに追加してから、リソースグループに権限を付与することができます。 これにより、認証の効率が向上する。
背景情報
エンタープライズユーザーは、さまざまなプロジェクト、子会社、部門のリソースを分離するために、複数のAlibaba Cloudアカウントを作成できます。 ただし、これにより、エンタープライズユーザーがこれらのAlibaba Cloudアカウントに存在するリソースを一元的に管理、監視、および監査することが困難になります。
Object Storage Service (OSS) を使用すると、ユーザーはリソースグループを作成して、ビジネスシナリオに基づいてAlibaba Cloudアカウントのリソースを分類できます。 これにより、企業内のユーザーはリソースグループを使用して、プロジェクト内のリソースを効率的に管理できます。
使用上の注意
リソースグループは、次のリージョンのバケットでサポートされています。中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、米国 (シリコンバレー) 、米国 (バージニア) 、日本 (東京) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、アラブ首長国連邦 (ドバイ) 。
リソースグループには、異なるリージョンのバケットを含めることができます。 バケットは1つのリソースグループにのみ属することができます。
バケットは、同じ所有者によって作成されたリソースグループ間でのみ転送できます。
手順
OSSコンソールの使用
次の例では、社内のさまざまな部門のテストデータが20個のバケットに保存されます。 すべての従業員が10個のバケットに格納されているデータの書き込みと読み取りを許可し、他の10個のバケットに格納されているデータの読み取りのみを許可します。 リソースグループを使用しない場合は、バケットごとに必要な権限を個別に設定する必要があります。 リソースグループを使用する場合は、同じ権限を必要とするバケットをリソースグループに追加し、リソースグループに必要な権限を設定できます。
また、複数のRAMユーザー (従業員) に同じ権限を付与するユーザーグループを作成する必要があります。 ユーザグループは、リソースグループと同様に機能する。
ユーザーグループを作成し、RAMユーザーをユーザーグループに追加します。
リソースグループを作成します。
リソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、[リソースグループ] > [リソースグループ] を選択します。
[リソースグループ] ページで、[リソースグループの作成] をクリックします。
[リソースグループの作成] パネルで、リソースグループ名とリソースグループ識別子パラメーターを設定します。 この例では、リソースグループ名はResourcegroupAに設定され、リソースグループ識別子はGroup1に設定されます。
[OK] をクリックします。
リソースグループのステータスが [作成中] になります。 約3秒待って、アイコンをクリックします。 リソースグループのステータスがAvailableになると、ResourcegroupAが作成されます。
上記の手順を繰り返して、ResourcegroupBという名前のリソースグループを作成します。
バケットのリソースグループを選択します。
OSSコンソールにログインします。
バケットリスト をクリックし、examplebucket1バケットをクリックします。
を選択します。
[リソースグループ] ページで、設定 をクリックします。
リソースグループ のResourcegroupAを選択し、設定 をクリックします。
上記の手順を繰り返して、すべての従業員に読み取りのみを許可するバケットにResourcegroupAを選択し、すべての従業員に読み取りと書き込みを許可するバケットにResourcegroupBを選択します。
リソースグループにアクセスするために必要な権限を設定します。
リソース管理コンソールにログインします。 左側のナビゲーションウィンドウで、[リソースグループ] > [リソースグループ] を選択します。
リストでリソースグループを検索し、[操作] 列の [権限の管理] をクリックします。
[権限] タブで、[権限の付与] をクリックします。
[権限付与] パネルで、パラメーターを設定します。 次の表にパラメーターを示します。
パラメーター | 説明 |
承認済みスコープ | [特定のリソースグループ] を選択します。 次に、ドロップダウンリストからResourcegroupAを選択します。 |
プリンシパル | UserGroup1を入力します。 |
ポリシーの選択 | [システムポリシー] を選択します。 [権限付与ポリシー名] 列で、[AliyunOSSReadOnlyAccess] をクリックして、UserGroup1のRAMユーザーにResourcegroupAのバケット内のオブジェクトの読み取りのみを許可します。 |
[OK] をクリックします。
[送信] をクリックします。
上記の手順を繰り返して、UserGroup1のRAMユーザーにAliyunOSSFullAccess
ポリシーをアタッチし、ResourcegroupBのバケット内のオブジェクトを読み書きする権限をRAMユーザーに付与します。
OSS SDKの使用
OSS SDKを使用してリソースグループを設定する場合、OSS SDK for JavaとOSS SDK for Pythonのみを使用できます。
OSS APIの使用
ビジネスで高度なカスタマイズが必要な場合は、RESTful APIを直接呼び出すことができます。 APIを直接呼び出すには、コードに署名計算を含める必要があります。 詳細については、「PutBucketResourceGroup」をご参照ください。