このトピックでは、Elastic Compute Service (ECS) インスタンスをリソースグループに追加し、リソースグループ内のECSインスタンスを表示および管理する権限をresource Access Management (RAM) ユーザーに付与する方法について説明します。
手順
この例では、Aliceという名前のRAMユーザーには、ECSインスタンスi-001のみを表示および管理する権限があります。 ECS インスタンスをリソースグループに追加し、リソースグループに対する権限を Alice に付与できます。
権限付与処理の間も、ECS インスタンスは通常どおり動作します。
次の操作を実行するには、アカウント管理者を使用する必要があります。
RAMコンソールにログインし、Aliceという名前のRAMユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
Resource Managementコンソールにログインし、ECS-Adminという名前のリソースグループを作成します。
詳細については、「リソースグループの作成」をご参照ください。
[リソース管理コンソール] で、ECSインスタンスi-001をリソースグループECS-Adminに追加します。
以下のいずれかの方法を使用して、ECS インスタンスをリソースグループに追加できます。
インスタンスの作成時に、ECSインスタンスをリソースグループに追加します。 インスタンスの作成方法の詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。
既存のECSインスタンスをリソースグループに移動します。 詳細については、「リソースグループ間のリソースの転送」をご参照ください。
RAMコンソールで、必要な権限をAliceに付与します。
このステップでは、[許可されたスコープ] セクションの [特定のリソースグループ] を選択し、[特定のリソースグループ] の下のフィールドにECS-Adminを入力し、[プリンシパル] フィールドにAliceを入力して、システムポリシーAliyunECSFullAccessを選択します。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
説明実際のビジネス環境では、最小権限の原則に基づいて、RAMユーザーに必要な権限のみを付与するカスタムポリシーを作成することをお勧めします。 これにより、過剰なユーザー権限によるセキュリティリスクを防ぎます。
Verify the result
RAMユーザーAliceとしてECSコンソールにログインします。
詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。
左側のナビゲーションウィンドウで、を選択します。
上部のナビゲーションバーで、ECSインスタンスが存在するリージョンを選択します。
上部のナビゲーションバーで、リソースグループのドロップダウンリストからECS-Adminを選択します。
重要RAMユーザーは、関連するリソースグループを選択した後にのみ、リソースグループ内のECSインスタンスを表示できます。 それ以外の場合、RAMユーザーはECSインスタンスを表示できません。
[インスタンス] ページで、インスタンスに関する情報を表示し、インスタンスを管理します。
関連ドキュメント
ECSインスタンスの関連リソースを関連リソースグループに手動で転送できます。 Resource Managementが提供する関連リソースの転送機能を使用して、関連リソースを関連リソースグループに自動的に転送することもできます。 ECSインスタンスの場合、クラウドディスク、elastic network Interface (ENI) 、elastic IPアドレス (EIP) の関連リソースがこの機能をサポートしています。 詳細については、「Use the Transfer Associated Resources feature」をご参照ください。