すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAMユーザーに特定のECSインスタンスの権限を付与するにはどうすればよいですか。

    ドキュメントセンター

    Resource Access Management:RAMユーザーに特定のECSインスタンスの権限を付与するにはどうすればよいですか。

    最終更新日:Oct 31, 2024

    リソースアクセス管理 (RAM) でリソースグループ、タグ、およびリソースAlibaba Cloudリソース名 (ARN) を使用して、RAMユーザーに特定のElastic Compute Service (ECS) インスタンスの管理を許可できます。

    リソースグループの使用 (推奨)

    リソースグループを使用すると、グループごとにクラウドリソースを管理できます。 詳細については、「リソースグループの概要」をご参照ください。 リソースグループを作成し、特定のECSインスタンスをリソースグループに追加してから、RAMユーザーにリソースグループに対する権限を付与できます。 これにより、RAMユーザーはリソースグループ内のECSインスタンスを管理できます。 この方法を使用すると、ポリシーの使用方法を学ぶ必要なく、システムポリシーを直接使用できます。 より詳細な権限管理を実装する場合は、カスタムポリシーを使用できます。 この方法はより柔軟です。 RAMユーザーがより多くのECSインスタンスを管理したい場合は、RAMユーザーに権限を再付与することなく、ECSインスタンスをリソースグループに追加するだけで済みます。

    詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。

    重要

    この方法を使用すると、RAMユーザーはECSコンソールで関連するリソースグループを選択した後にのみ、リソースグループ内のECSインスタンスを表示できます。 それ以外の場合、RAMユーザーはECSインスタンスを表示できません。

    タグの使用

    タグはリソースを識別するために使用されます。 タグを使用すると、さまざまなディメンションで同じ特性を持つリソースを分類、検索、および集約できます。 詳細については、「タグの概要」をご参照ください。 ECSインスタンスにタグを追加できます。 次に、RAMユーザーに権限を付与するカスタムポリシーを作成できます。 タグを使用して、RAMユーザーがアクセスできるECSインスタンスを指定できます。 この方法を使用する場合、システムポリシーを直接使用することはできません。 カスタムポリシーの [Condition] 要素で、権限を付与するECSインスタンスのタグを指定する必要があります。 この方法は、よりきめ細かい権限管理を実装し、リソースグループベースの認証よりも柔軟です。 ただし、この方法では、カスタムポリシーの適切なコマンドが必要です。 Condition要素の詳細については、「Condition」をご参照ください。

    詳細については、「タグを使用してRAMユーザーが許可されたECSインスタンスのみを管理できるようにする」をご参照ください。

    重要

    この方法を使用すると、RAMユーザーは、RAMユーザーがECSコンソールで関連タグを選択した後にのみ、RAMユーザーが権限を持つECSインスタンスを表示できます。 それ以外の場合、RAMユーザーはECSインスタンスを表示できません。

    リソースARNの使用

    リソースARNを使用して、RAMユーザーが属するAlibaba Cloudアカウントの特定のECSインスタンスに対する管理権限をRAMユーザーに付与できます。 この方法を使用する場合、システムポリシーとカスタムポリシーを直接使用することはできません。 この方法では、各RAMユーザーに権限を付与する必要があります。 この方法は、少数のRAMユーザーとECSインスタンスが関与するシナリオに適しています。

    詳細については、「RAMを使用したECS権限の管理」をご参照ください。

    重要

    この方法を使用すると、RAMユーザーは、RAMユーザーが属するAlibaba CloudアカウントのすべてのECSインスタンスを表示できますが、RAMユーザーが権限を持つECSインスタンスのみを管理できます。

    よくある質問

    AliyunECSFullAccessシステムポリシーまたはカスタムポリシーをアタッチしてRAMユーザーにECS管理権限を付与した場合Action要素が ecs:* に設定されている場合、RAMユーザーはECSインスタンスを管理できますが、Workbenchを使用してECSインスタンスにアクセスできません。 私は何をしますか?

    RAMユーザーにECS管理権限を付与すると、RAMユーザーは仮想ネットワークコンピューティング (VNC) を使用してのみECSインスタンスにアクセスできます。 RAMユーザーがWorkbenchを使用してECSインスタンスにアクセスする場合は、カスタムポリシーを作成して、RAMユーザーにWorkbenchの権限を付与する必要があります。 たとえば、カスタムポリシーでAction要素をecs-workbench:* に設定する必要があります。 詳細については、「カスタムポリシーの作成」をご参照ください。

    関連ドキュメント

    上記の方法を使用して、RAMユーザーに他のリソースを管理する権限を付与することもできます。 RAMユーザーに他のリソースを管理する権限を付与する前に、リソースが関連するメソッドをサポートしているかどうかを確認する必要があります。

    • リソースグループベースの認証をサポートするサービスを表示するには、「リソースグループで動作するサービス」をご参照ください。

    • タグベースの認証をサポートするサービスを表示するには、[リソース管理コンソール] にログインし、左側のナビゲーションウィンドウで [タグ]> [タグ] を選択し、[リソースタグ付け機能] タブをクリックして、[タグラムサポート] の値が [サポート] であるリソースタイプを見つけます。

    • RAMベースの認証をサポートするサービスを表示するには、「RAMで動作するサービス」をご参照ください。