Alibaba Cloudに複数のリソースがあり、特定のリソースを表示および管理する権限をユーザーに付与する場合は、リソースグループを作成し、リソースをリソースグループに分類できます。 次に、RAMにResource Access Management (RAM) ユーザーを作成し、さまざまなリソースグループのRAMユーザーに権限を付与できます。
背景情報
ゲーム企業は3つのゲームプロジェクトを開発しています。 各プロジェクトにはさまざまなクラウドリソースが必要です。
この企業での要件は以下のとおりです。
独立したプロジェクト管理: プロジェクトマネージャーは、独自のプロジェクトメンバーと、プロジェクトメンバーがクラウドリソースにアクセスするために必要な権限を管理できます。
個別の請求書:企業の財務部門は、各プロジェクトが個別の請求書を受け取ることを求めています。
企業には、次のオプションのソリューションがあります。
マルチアカウントソリューション
このソリューションは、独立したプロジェクト管理をサポートします。 企業は3つのAlibaba Cloudアカウント (プロジェクトごとに1つのアカウント) を作成し、アカウントごとに1つのプロジェクトマネージャーを割り当てます。 次に、プロジェクト マネージャーは、自身のプロジェクト メンバーを管理し、各メンバーの権限を管理します。
このソリューションは個別の請求書をサポートします。 デフォルトでは、各Alibaba Cloudアカウントは個別の請求書を受け取ります。 企業は、Alibaba Cloud が提供する請求書統合機能を使用して、複数の Alibaba Cloud アカウントの請求書を統合できます。
タグ付きリソースを使用したシングルアカウントソリューション
このソリューションは、独立したプロジェクト管理が可能です。 企業はグループごとにクラウドリソースにタグを付けることができますが、プロジェクトマネージャーは自分のメンバーと各メンバーのアクセス許可を管理することはできません。
このソリューションは個別の請求書をサポートします。 企業は、プロジェクトごとにクラウドリソースにタグ付けできます。 その後、各プロジェクトは別々の請求書を受け取ることができます。
単一アカウントリソースグループベースのソリューション
このソリューションは、独立したプロジェクト管理をサポートします。 各リソースグループに管理者が存在します。 管理者は、自身のプロジェクト メンバーと各メンバーの権限を管理します。
このソリューションは個別の請求書をサポートします。 Alibaba Cloud では、リソースグループが個別の請求書を受け取れる請求書統合機能を提供しています。
マルチアカウントソリューションは、異なるプロジェクトがプロジェクトメンバーによって完全に分離および管理されるシナリオに適しています。 中央チームは、一貫性と標準的な実装を保証するために集中的に複数のアカウントを管理できます。 単一アカウントリソースグループベースのソリューションは、中央チームが企業全体のITおよびO&M運用を担当し、さまざまなプロジェクトチームが関連するリソースグループのリソースを管理するシナリオに適しています。 ゲーム企業は、単一アカウントリソースグループに基づくソリューションを採用することを決定します。 このトピックでは、単一アカウントのリソースグループベースのソリューションを実装する方法について説明します。
解決策
リソースグループは、リソースがAlibaba Cloudアカウントのグループによって管理されるメカニズムです。 単一アカウントリソースグループベースのソリューションでは、企業は1つのAlibaba Cloudアカウントのみを使用して、3つのゲームプロジェクトに対応する3つのリソースグループと3つのRAMユーザーを作成できます。 3人のRAMユーザーは、3つのゲームプロジェクトの3人の管理者に割り当てられます。 詳細については、「リソースグループの概要」をご参照ください。
リソースグループの権限付与は、クラウドサービスとリソースグループをサポートするリソースに対してのみ有効です。 詳細については、「リソースグループで動作するサービス」をご参照ください。
手順
以下の操作は、アカウント管理者によって実行されます。
RAMコンソールでRAMユーザーを作成します。
この例では、次の3つのRAMユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
RAMユーザー
Alice: Gaming Project 1の管理者。RAMユーザー
Bob: Gaming Project 2の管理者。RAMユーザー
Charlie: Gaming Project 3の管理者。
リソース管理コンソールでリソースグループを作成します。
この例では、次の3つのリソースグループを作成します。詳細については、「リソースグループの作成」をご参照ください。
リソースグループ
Game1: Gaming Project 1のリソースを管理します。リソースグループ
Game2: Gaming Project 2のリソースを管理します。リソースグループ
Game3: Gaming Project 3のリソースを管理します。
リソースをリソースグループに分類します。
新しく購入または作成したリソース: リソースを購入または作成するときに、リソースグループを選択します。 詳細については、「リソースグループのリソースの購入」をご参照ください。
既存のリソース: 必要なリソースグループにリソースを転送します。 詳細については、「リソースグループ間のリソースの転送」をご参照ください。
必要なリソースグループに対する権限をRAMユーザーに付与します。
この例では、3人のRAMユーザーをリソースグループ管理者として設定します。
AdministratorAccessポリシーをアタッチして、RAMユーザーに必要なリソースグループに対する完全な管理権限を付与する必要があります。 たとえば、AdministratorAccessポリシーをRAMユーザーAliceにアタッチして、Game1リソースグループに対する権限を付与できます。実際のビジネス環境では、最小権限の原則に基づいて、RAMユーザーに必要な権限のみを付与することをお勧めします。 これにより、過剰なユーザー権限によるセキュリティリスクを防ぐことができます。
次のいずれかの方法を使用して、RAMユーザーに権限を付与できます。
リソース管理コンソールでRAMユーザーに権限を付与します。 詳細については、「RAM権限の追加」をご参照ください。
RAMコンソールでRAMユーザーに権限を付与します。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
重要[許可スコープ] パラメーターを [特定のリソースグループ] に設定する必要があります。
結果
この例では、Alice、Bob、およびCharlieは、Game1、Game2、およびGame3のリソースグループ管理者です。 管理者には次の権限があります。
関連するクラウドサービスのコンソールでは、管理者は関連するリソースグループのリソースを表示、管理、作成できます。
重要管理者は、管理者が関連するリソースグループを選択した後にのみ、リソースグループ内のリソースを表示できます。
リソース管理コンソールでは、管理者は、関連するリソースグループに対する権限を持つRAMユーザー、RAMユーザーグループ、およびRAMロールを管理できます。
関連ドキュメント
RAMユーザーが権限を持つECSインスタンスのみを表示および管理できるようにするには、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。