RAM ロールの権限は、ポリシーのアタッチおよびデタッチによって制御します。ポリシーは、そのロールが実行を許可または拒否される操作を定義します。本トピックでは、RAM ロールにポリシーをアタッチする方法、付与されたポリシーを確認する方法、およびポリシーをデタッチする方法について説明します。
制限事項
サービスリンクロール の権限は変更できません。これらの権限は、関連付けられた Alibaba Cloud サービスにより事前に定義されており、変更不可です。
RAM ロールには、アタッチ可能なポリシー数に上限があります。この上限には、システムポリシーおよびカスタムポリシーの両方が含まれます。具体的なクォータについては、「制限事項」をご参照ください。
RAM ロールへの権限付与
コンソール
以下の手順を実行するには、Alibaba Cloud オーナーまたは RAM 管理者(AliyunRAMFullAccess ポリシーが付与された RAM ユーザー)としてログインしている必要があります。
権限付与は、[ロール] ページまたは [権限付与] ページから実行できます。ご使用のワークフローに最も適した方法をお選びください。
方法 | 適用範囲 | バッチ操作 |
[ロール] ページから | 1 つ以上のポリシーを、1 つ以上のロールにアタッチする場合。 | はい |
[Grants] ページから | RAM ユーザー、グループ、ロールなど、異なる種類の ID に対して、同時に 1 つのポリシーをアタッチする場合。 | はい |
方法 1:[ロール] ページを使用する
RAM コンソール に RAM 管理者としてログインします。
左側ナビゲーションウィンドウで、 を選択します。
[ロール] ページで、対象の RAM ロールを見つけ、[ポリシーのアタッチ] をクリックします([操作] 列)。
複数のロールに一度に権限を付与する場合は、対象ロールのチェックボックスを選択し、リスト下部の [ポリシーのアタッチ] をクリックします。
[権限付与] パネルで設定を構成します。
[リソース範囲] で、権限の適用範囲を選択します。
[アカウント]:現在の Alibaba Cloud アカウント内のすべてのリソースに権限が適用されます。
[リソースグループ]:指定されたリソースグループ内のリソースのみに権限が適用されます。
説明このオプションは、リソースグループをサポートするサービスでのみ有効です。対応サービスについては、「リソースグループに対応するサービス」をご参照ください。
[プリンシパル] で、権限を付与する RAM ロールを選択します。
システムは自動的に現在の RAM ロールを選択します。
[ポリシー] で、アタッチするポリシーを検索して選択します。
複数のシステムポリシーおよびカスタムポリシーを選択できます。
システムポリシー:Alibaba Cloud が作成・管理するポリシーです。利用は可能ですが、編集・変更はできません。詳細については、「RAM をサポートする Alibaba Cloud サービス」の「クラウドサービスとシステムポリシー」セクションをご参照ください。
説明コンソールでは、
AdministratorAccessやAliyunRAMFullAccessなどの高リスクポリシーがハイライト表示されます。ベストプラクティスとして、必要な最小限の権限のみを付与し、過剰な権限を持つポリシーの使用は避けてください。カスタムポリシー:ユーザーが作成・管理するポリシーです。作成、更新、削除が可能です。カスタムポリシーの作成方法については、「カスタムポリシーの作成」をご参照ください。
[承認して権限を追加] をクリックします。
[閉じる] をクリックします。
方法 2:[権限付与] ページを使用する
RAM コンソール に RAM 管理者としてログインします。
左側のナビゲーションウィンドウで、 を選択します。
[権限] ページで、[権限付与] をクリックします。
[権限付与] パネルで、RAM ロールに権限を付与します。
リソース範囲パラメーターを構成します。
[アカウント]:現在の Alibaba Cloud アカウント全体に権限が適用されます。
[リソースグループ]:指定されたリソースグループに権限が適用されます。
説明リソースグループ単位の権限付与を有効にするには、対象の Alibaba Cloud サービスおよびリソースタイプがリソースグループをサポートしている必要があります。詳細については、「リソースグループをサポートするサービス」をご参照ください。
権限付与対象のエンティティを選択します。
プリンシパルとは、権限を付与する RAM ロールのことです。複数の RAM ロールを一度に選択できます。
アクセスポリシーを選択します。
アクセスポリシーとは、アクセス権限のコレクションです。複数のアクセスポリシーを選択できます。
システムポリシー:Alibaba Cloud が作成・管理するポリシーです。利用は可能ですが、編集・変更はできません。詳細については、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess などの高リスクシステムポリシーを自動的に識別します。権限付与時には、不要な高リスクアクセスポリシーの付与を避けてください。
カスタムポリシー:ユーザーが作成、更新、削除可能なポリシーです。カスタムポリシーの作成方法については、「カスタム権限ポリシーの作成」をご参照ください。
[権限を付与] をクリックします。
[閉じる] をクリックします。
API
AttachPolicyToRole API を呼び出して、アクセスポリシーをロールにアタッチします。以下のパラメーターを指定する必要があります:
PolicyType:アクセスポリシーの種類。システムポリシーの場合はSystem、カスタムポリシーの場合はCustomを指定します。この値は大文字小文字を区別します。PolicyName:アクセスポリシーの名前。RoleName:RAM ロールの名前。
AttachPolicyToRole 操作は、アカウントレベルで権限を付与します。API を使用してリソースグループ単位の権限付与を行うには、Resource Management API の AttachPolicy 操作を使用する必要があります。
RAM ロールの権限の表示
オペレーターに AliyunRAMReadOnlyAccess システムポリシーを割り当てます。
コンソール
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、対象の RAM ロールの名前をクリックします。
[権限] タブをクリックします。 ロールにアタッチされているポリシーがポリシーリストに表示されます。
API
ListPoliciesForRole 操作を呼び出して、ロールにアタッチされているポリシーをリスト表示します。
RoleName パラメーターを指定する必要があります。
RAM ロールからの権限の削除
これらの手順を実行するには、AliyunRAMFullAccess ポリシーと同等の権限が必要です。権限を取り消すと、ポリシーはロールからデタッチされますが、ポリシー自体は削除されません。
コンソール
次のいずれかの方法で、RAM ロールから権限を削除できます。
[ロール] ページからの操作
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、対象の RAM ロールの名前をクリックします。
[権限管理] タブで、対象の権限ポリシーの [操作] 列にある [取り消し] をクリックします。
RAM ロールから一度に複数の権限を取り消すには、複数の権限ポリシーを選択し、権限ポリシーリストの下にある [取り消し] をクリックします。
[取り消し] ダイアログボックスで、[取り消し] をクリックします。
Grants ページから
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[権限付与] ページで、対象の RAM ロールの [操作] 列にある [権限の取り消し] をクリックします。
一度に複数のポリシーをデタッチするには、対象ポリシーのチェックボックスをオンにし、リストの下部にある [削除] をクリックします。
[取り消し] ダイアログボックスで、[取り消し] をクリックします。
API
DetachPolicyFromRole 操作を呼び出して、ロールからポリシーをデタッチします。
PolicyType:削除する権限ポリシーのタイプ。システムポリシーの場合はSystemを、カスタムポリシーの場合はCustomを使用します。この値では大文字と小文字が区別されます。PolicyName:削除する権限ポリシーの正確な名前。RoleName:RAM ロールの名前。