すべてのプロダクト
Search

このプロダクト

    :RAMユーザーグループを作成し、そのグループに権限を付与する

    ドキュメントセンター

    :RAMユーザーグループを作成し、そのグループに権限を付与する

    最終更新日:Oct 31, 2024

    Resource Access Management (RAM) ユーザーグループは、物理的なIDです。 RAMユーザーグループを作成して、RAMユーザーを分類し、同じ責任を持つRAMユーザーに権限を付与できます。 これにより、RAMユーザーとその権限の管理が簡素化されます。

    手順1: RAMユーザーグループの作成

    手順

    1. RAM管理者としてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アイデンティティ > グループを選択します。

    3. [グループ] ページで、[ユーザーグループの作成] をクリックします。

    4. グループの作成ページで、グループ名表示名、およびパラメーターを設定します。

    5. OKをクリックします。

    手順2: RAMユーザーグループへのRAMユーザーの追加

    1. RAM管理者としてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アイデンティティ > ユーザーを選択します。

    3. [ユーザー] ページで、管理するRAMユーザーを見つけ、[操作] 列の [グループに追加] をクリックします。

    4. [グループメンバーの追加] パネルで、RAMユーザーを追加するRAMユーザーグループを選択します。 RAMユーザーに関する情報は自動的に入力されます。

    5. [OK] をクリックします。

    6. 表示されるページで、[完了] をクリックします。

    手順3: (オプション) カスタムポリシーの作成

    RAMは、システムポリシーとカスタムポリシーを提供します。 システムポリシーはAlibaba Cloudによって提供されており、変更することはできません。 システムポリシーがビジネス要件を満たせない場合は、カスタムポリシーを作成して、きめ細かいアクセス制御を実装できます。

    さまざまな方法でカスタムポリシーを作成できます。 この例では、カスタムポリシーは [Visual editor] タブで作成されます。 詳細については、「カスタマイズポリシーの作成」をご参照ください。

    1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、権限 > ポリシーを選択します。

    3. ポリシーページで、ポリシーの作成をクリックします。

    4. ポリシーの作成ページで、ビジュアルエディタタブをクリックします。

    5. ポリシーを設定し、ポリシー情報を編集する次にをクリックします。

      1. 効果セクションで、許可または拒否を選択します。

      2. サービスセクションで、Alibaba Cloudサービスを選択します。

        説明

        選択できるAlibaba Cloudサービスが [サービス] セクションに表示されます。

      3. アクションセクションで、すべてのアクションまたはアクションの選択を選択します。

        前の手順で選択したAlibaba Cloudサービスに基づいて設定できるアクションが表示されます。 [アクションの選択] を選択した場合は、アクションを選択する必要があります。

      4. リソースセクションで、すべてのリソースまたは指定されたリソースを選択します。

        前の手順で選択した操作に基づいて構成できるリソースが表示されます。 [指定されたリソース] を選択した場合、[リソースの追加] をクリックして、リソースの1つ以上のAlibaba Cloudリソース名 (ARN) を設定する必要があります。 [すべて一致] をクリックして、選択した各アクションのすべてのリソースを選択することもできます。

        説明

        操作に必要なリソースの ARN は、[Required] でタグ付けされます。 Required でタグ付けされたリソースの ARN を設定することを強く推奨します。 これにより、カスタムポリシーが期待どおりに有効になります。

      5. 条件セクションで、条件の追加をクリックして条件を設定します。

        条件には、Alibaba Cloud の共通条件とサービス固有の条件が含まれます。 システムにより、選択した操作と Alibaba Cloud サービスに基づいて設定可能な操作が表示されます。 条件キーを選択し、OperatorパラメーターとValueパラメーターを設定するだけです。

      6. ステートメントの追加をクリックして上記の手順を繰り返して、複数のカスタムポリシーステートメントを設定します。

    6. 名前説明フィールドを指定します。

    7. カスタムポリシーの内容を確認して最適化します。

      • 基本的な最適化

        システムは自動的にポリシーステートメントを最適化します。 基本的な最適化中に、システムによって次の操作が実行されます。

        • 不要な条件が削除されます。

        • 不要な配列が削除されます。

      • (オプション) 高度な最適化

        ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。 システムは、高度な最適化中に次の操作を実行します。

        • 操作と互換性のないリソースまたは条件が分割されます。

        • リソースが絞り込まれます。

        • ポリシーステートメントの重複排除またはマージが行われます。

    8. OKをクリックします。

    手順4: RAMユーザーグループに権限を付与

    RAMユーザーグループに権限を付与する場合は、最小権限の原則に基づいて、必要な権限のみをRAMユーザーグループに付与することをお勧めします。

    1. RAM管理者としてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アイデンティティ > グループを選択します。

    3. グループページで、管理するRAMユーザーグループを見つけて、アクション列の権限の追加をクリックします。

      image

      複数のRAMユーザーグループを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーグループに一度に権限を付与することもできます。

    4. 権限付与パネルで、RAMユーザーグループに権限を付与します。

      1. Resource Scopeパラメーターを設定します。

        • アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。

        • リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。

          説明

          [リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。

      2. Principalパラメーターを設定します。

        プリンシパルは、権限を付与するRAMユーザーグループです。 現在のRAMユーザーグループが自動的に選択されます。

      3. Policyパラメーターを設定します。

        ポリシーには、一連の権限が含まれています。 一度に複数のポリシーを選択できます。

        • システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。

          説明

          システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。

        • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタマイズポリシーの作成」をご参照ください。

      4. [権限付与] をクリックします。

    5. 閉じるをクリックします。