Alibaba Cloud 上に複数のリソースがあり、特定のリソースを表示および管理する権限をユーザーに付与したい場合は、リソースグループを作成し、リソースをリソースグループに分類できます。その後、Resource Access Management (RAM) で RAM ユーザーを作成し、異なるリソースグループ上の RAM ユーザーに権限を付与できます。
背景情報
あるゲーム企業が 3 つのゲームプロジェクトを開発しています。各プロジェクトには、さまざまなクラウドリソースが必要です。
この企業には、次の要件があります。
独立したプロジェクト管理: プロジェクトマネージャーは、自身のプロジェクトメンバーと、プロジェクトメンバーがクラウドリソースにアクセスするために必要な権限を管理できます。
個別の請求書: 企業の財務部門は、各プロジェクトが個別の請求書を受け取ることを要求しています。
この企業には、次のオプションのソリューションがあります。
マルチアカウントソリューション
このソリューションは、独立したプロジェクト管理をサポートします。企業は 3 つの Alibaba Cloud アカウント (プロジェクトごとに 1 つのアカウント) を作成し、各アカウントに 1 人のプロジェクトマネージャーを割り当てます。その後、プロジェクトマネージャーは、自身のプロジェクトメンバーと各メンバーのアクセス権限を管理できます。
このソリューションは、個別の請求書をサポートします。デフォルトでは、各 Alibaba Cloud アカウントは個別の請求書を受け取ります。企業は、Alibaba Cloud が提供する請求書の一括処理機能を使用して、複数の Alibaba Cloud アカウントの請求書とインボイスを統合できます。
タグ付けされたリソースを持つシングルアカウントソリューション
このソリューションは、独立したプロジェクト管理をサポートしません。企業はクラウドリソースをグループごとにタグ付けできますが、プロジェクトマネージャーは自身のメンバーと各メンバーのアクセス権限を管理できません。
このソリューションは、個別の請求書をサポートします。企業はクラウリソースをプロジェクトごとにタグ付けできます。その後、各プロジェクトは個別の請求書を受け取ることができます。
シングルアカウントのリソースグループベースのソリューション
このソリューションは、独立したプロジェクト管理をサポートします。各リソースグループには管理者がいます。管理者は、自身のグループメンバーと各メンバーのアクセス権限を管理できます。
このソリューションは、個別の請求書をサポートします。Alibaba Cloud は、リソースグループが個別の請求書を受け取ることを可能にする請求書の一括処理機能を提供します。
マルチアカウントソリューションは、異なるプロジェクトが完全に分離され、プロジェクトメンバーによって管理されるシナリオに適しています。中央チームは、一貫性と標準的な実装を確保するために、複数のアカウントを一元的に管理できます。シングルアカウントのリソースグループベースのソリューションは、中央チームが企業全体の IT および O&M 操作を担当し、異なるプロジェクトチームが関連するリソースグループ内のリソースを管理するシナリオに適しています。このゲーム企業は、シングルアカウントのリソースグループベースのソリューションを採用することにしました。このトピックでは、シングルアカウントのリソースグループベースのソリューションを実装する方法について説明します。
ソリューション
リソースグループは、Alibaba Cloud アカウント内でリソースをグループ単位で管理するメカニズムです。シングルアカウントのリソースグループベースのソリューションを使用すると、企業は 1 つの Alibaba Cloud アカウントのみを使用して、3 つのゲームプロジェクトに対応する 3 つのリソースグループと 3 つの RAM ユーザーを作成できます。3 つの RAM ユーザーは、3 つのゲームプロジェクトの 3 人の管理者に割り当てられます。詳細については、「リソースグループの概要」をご参照ください。
リソースグループの権限付与は、リソースグループをサポートするクラウドサービスとリソースに対してのみ有効です。詳細については、「リソースグループと連携するサービス」をご参照ください。
手順
次の操作は、アカウント管理者が実行します。
RAM コンソールで RAM ユーザーを作成します。
この例では、次の 3 つの RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。
RAM ユーザー
Alice: ゲームプロジェクト 1 の管理者。RAM ユーザー
Bob: ゲームプロジェクト 2 の管理者。RAM ユーザー
Charlie: ゲームプロジェクト 3 の管理者。
Resource Management コンソールでリソースグループを作成します。
この例では、次の 3 つのリソースグループを作成します。詳細については、「リソースグループの作成」をご参照ください。
リソースグループ
Game1: ゲームプロジェクト 1 のリソースを管理します。リソースグループ
Game2: ゲームプロジェクト 2 のリソースを管理します。リソースグループ
Game3: ゲームプロジェクト 3 のリソースを管理します。
リソースをリソースグループに分類します。
新規に購入または作成したリソース: リソースを購入または作成するときに、リソースグループを選択します。詳細については、「リソースグループのリソースを購入する」をご参照ください。
既存のリソース: 必要なリソースグループにリソースを転送します。詳細については、「リソースグループ間でリソースを転送する」をご参照ください。
必要なリソースグループに対する権限を RAM ユーザーに付与します。
この例では、3 つの RAM ユーザーがリソースグループ管理者として機能します。それぞれのリソースグループ内で完全な管理アクセスを提供する
AdministratorAccess権限を付与します。たとえば、RAM ユーザーAliceにGame1リソースグループに対するAdministratorAccess権限を付与します。実際のビジネス環境では、最小権限の原則に基づいて、RAM ユーザーに必要な権限のみを付与することをお勧めします。これにより、過剰なユーザー権限によるセキュリティリスクを防ぐことができます。
次のいずれかのメソッドを使用して、RAM ユーザーに権限を付できます。
Resource Management コンソールで RAM ユーザーに権限を付与します。詳細については、「RAM 権限付与の追加」をご参照ください。
RAM コンソールで RAM ユーザーに権限を付与します。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
重要[権限付与範囲] については、必ず [特定のリソースグループ] を選択してください。
結果
この例では、Alice、Bob、Charlie は、Game1、Game2、Game3 のリソースグループ管理者です。管理者には次の権限があります。
関連するクラウドサービスのコンソールで、管理者は関連するリソースグループ内のリソースを表示、管理、作成できます。
重要管理者は、関連するリソースグループを選択した後にのみ、リソースグループ内のリソースを表示できます。
Resource Management コンソールでは、管理者は、関連するリソースグループに対する権限を持つ RAM ユーザー、RAM ユーザーグループ、および RAM ロールを管理できます。
参考資料
RAM ユーザーが権限を持つ ECS インスタンスのみを表示および管理できるようにするには、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。