すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAM ロールを使用した VPC 権限の管理

    ドキュメントセンター

    Resource Access Management:RAM ロールを使用した VPC 権限の管理

    最終更新日:Dec 02, 2025

    このトピックでは、Resource Access Management (RAM) ユーザーの Virtual Private Cloud (VPC) に対するアクセス権限を管理する方法について説明します。 RAM コンソールでは、カスタムポリシーを作成して RAM ユーザーにアタッチできます。

    背景情報

    • RAM ユーザーの VPC 権限を管理する前に、次のシステムポリシーにご注意ください:

      • AliyunVPCFullAccess:RAM ユーザーに VPC を管理する権限を付与します。

      • AliyunECSReadOnlyAccess:VPC に対する読み取り専用権限を付与します。

      これら 2 つのシステムポリシーが業務要件を満たすことができない場合、カスタムポリシーを作成できます。

    • RAM ユーザーの VPC 権限を管理する前に、VPC 権限にご注意ください。詳細については、「RAM ユーザーへの権限付与」をご参照ください。

    手順

    1. RAM ユーザーを作成します。

      詳細については、「RAM ユーザーの作成」をご参照ください。

    2. カスタムポリシーを作成します。

      詳細については、「カスタムポリシーの作成」および「ポリシーの例」をご参照ください。

    3. RAM ユーザーにポリシーをアタッチします。

      詳細については、「RAM ユーザーへの権限付与」をご参照ください。

    ポリシーの例

    • 例 1:RAM ユーザーにすべての VPC の管理を承認する

      RAM ユーザーに対して、Alibaba Cloud アカウント 1234567 のすべての VPC を管理する権限を付与するには、以下のサンプルスクリプトを使用します。 

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "vpc:*"
      ],
      "Resource": [
        "acs:vpc:*:1234567:*/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecs:*Describe*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

    • 例 2:RAM ユーザーに VPC 内の vSwitch の管理を承認する

      RAMユーザーに対して、中国 (青島) リージョンに作成された VPC の vSwitch を管理する権限を付与するには、以下のポリシーを使用します。 このポリシーがアタッチされた RAM ユーザーは、中国 (青島) リージョンに作成された VPC 内の vSwitch のサブネットルートの作成、削除、関連付け、関連付け解除を実行できます。 RAM ユーザーは、他のリージョンの vSwitch のみ表示できます。 

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "vpc:*Describe*",
        "vpc:*VSwitch*",
        "vpc:*RouteTable*"
      ],
      "Resource": [
        "acs:vpc:cn-qingdao:*:*/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "vpc:*Describe*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

    • 例 3:RAM ユーザーに特定リージョン内のルートテーブルとルートの管理を承認する

      RAM ユーザーに対して、中国 (杭州) リージョンのすべての VPC を管理する権限を付与するには、以下のサンプルスクリプトを使用します。 RAM ユーザーは Alibaba Cloud アカウント 1234567 に属しています。 権限が付与された RAM ユーザーは、ルートの追加または削除、サブネットルートの作成、およびこのリージョンでの vSwitch の関連付けを実行できます。 RAM ユーザーは、他のリージョンのクラウドサービスのみ表示できます。 

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:*Describe*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": [
        "slb:*Describe*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": [
        "rds:*Describe*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    },
    {
      "Effect": "Allow",
      "Action": [
        "vpc:*Describe*",
        "vpc:*RouteEntry*",
        "vpc:*RouteTable*"
      ],
      "Resource": [ 
        "acs:vpc:cn-hangzhou:1234567:*/*"
      ],
      "Condition": {}
    }
  ]
}

    • 例 4:RAM ユーザーに指定されたルートテーブル内のルートの追加または削除を承認する

      RAM ユーザーに対して、特定のルートテーブルでルートを追加または削除する権限を付与するには、以下のポリシーを使用します。 

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "vpc:*RouteEntry*"
      ],
      "Resource": [
        "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "vpc:*Describe*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecs:*Describe*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}