このトピックでは、RAM (Resource Access Management) を使用してO&Mエンジニアに権限を付与し、権限を管理する方法について説明します。
背景情報
企業が複数のAlibaba Cloudサービスを購入し、そのアプリケーションシステムをクラウドにデプロイしました。 これにより、次のO&M要件が発生します。
さまざまなO&MエンジニアがさまざまなAlibaba Cloudサービスを担当しています。
異なるO&Mエンジニアは、Alibaba Cloudリソースへのアクセスと管理に異なる権限を必要とします。
解決策
企業は、RAMユーザーを作成し、さまざまなO&M要件を満たすために、RAMユーザーにさまざまなポリシーをアタッチできます。
O&Mエンジニア | ポリシー | 説明 |
クラウドO&Mエンジニア | AdministratorAccess | すべてのAlibaba Cloudリソースを管理する権限。 |
VM O&Mエンジニア | AliyunECSFullAccess | Elastic Compute Service (ECS) を管理する権限。 |
AliyunESSFullAccess | Auto Scaling (ESS) を管理する権限。 | |
AliyunSLBFullAccess | Server Load Balancer (SLB) を管理する権限。 | |
AliyunNASFullAccess | Apsara File Storage NAS (NAS) を管理する権限。 | |
AliyunOSSFullAccess | Object Storage Service (OSS) を管理する権限。 | |
AliyunOTSFullAccess | Tablestore (OTS) を管理する権限。 | |
ネットワークO&Mエンジニア | AliyunCDNFullAccess | Alibaba Cloud CDN (CDN) を管理する権限。 |
AliyunCENFullAccess | Cloud Enterprise Network (CEN) を管理する権限。 | |
AliyunCommonBandwidthPackageFullAccess | インターネット共有帯域幅を管理する権限。 | |
AliyunEIPFullAccess | Elastic IPアドレス (EIP) を管理する権限。 | |
AliyunExpressConnectFullAccess | Express Connectを管理する権限。 | |
AliyunNATGatewayFullAccess | NAT Gateway (NAT) を管理するための権限。 | |
AliyunSCDNFullAccess | セキュアCDN (SCDN) を管理する権限。 | |
AliyunSmartAccessGatewayFullAccess | Smart Access Gatewayを管理する権限。 | |
AliyunVPCFullAccess | Virtual Private Cloud (VPC) を管理する権限。 | |
AliyunVPNGatewayFullAccess | VPN Gatewayを管理するための権限。 | |
データベースO&Mエンジニア | AliyunRDSFullAccess | ApsaraDB RDSを管理する権限。 |
AliyunDTSFullAccess | データ送信サービス (DTS) を管理する権限。 | |
セキュリティO&Mエンジニア | AliyunYundunFullAccess | すべてのAlibaba Cloud Securityサービスを管理する権限。 |
O&Mエンジニアの監視 | AliyunActionTrailFullAccess | ActionTrailを管理する権限。 |
AliyunARMSFullAccess | アプリケーションリアルタイムモニタリングサービス (ARMS) を管理する権限。 | |
AliyunCloudMonitorFullAccess | CloudMonitorを管理する権限。 | |
ReadOnlyAccess | すべてのAlibaba Cloudリソースを読み取る権限のみ。 | |
AliyunSupportFullAccess | チケット管理を管理する権限。 |
手順
この例では、RAMユーザーalice@secloud.onaliyun.comをデータベースO&Mエンジニアとして設定する方法について説明します。 これにより、RAMユーザーはApsaraDB RDSおよびDTSを管理できます。
Alibaba Cloudアカウントを使用してRAMコンソールにログインします。
alice@secloud.onaliyun.comという名前のRAMユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。
AliyunRDSFullAccessおよびAliyunDTSFullAccessポリシーをRAMユーザーalice@secloud.onaliyun.comにアタッチします。詳細については、「RAMユーザーへの権限付与」をご参照ください。
1から4を繰り返して、他のRAMユーザーを作成し、RAMユーザーにポリシーをアタッチして、RAMユーザーが異なるクラウドサービスを管理できるようにすることができます。