RAM ユーザーに ApsaraDB RDS インスタンスを管理する権限を付与する - ApsaraDB RDS

このトピックでは、Resource Access Management (RAM) を使用して ApsaraDB RDS インスタンスを管理するための RAM ユーザーの承認方法について説明します。

前提条件

RAM ユーザーが作成されていること。 RAM ユーザーの作成方法については、「RAM ユーザーの作成」をご参照ください。

説明

RAM ユーザーとしてパフォーマンスの最適化と診断に関連する機能を使用する場合は、事前に RAM ユーザーに AliyunHDMFullAccess 権限を付与する必要があります。

背景情報

API 操作を呼び出す権限を RAM ユーザーに付与できます。たとえば、CreateDBInstance 操作を呼び出す権限を RAM ユーザーに付与すると、RAM ユーザーは ApsaraDB RDS コンソールで RDS インスタンスを作成できます。

次の手順では、RDS インスタンスに関する情報を確認する権限を RAM ユーザーに付与する方法を示します。他の権限を RAM ユーザーに付与する手順も同様です。

手順

ポリシーを作成します。

RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
[ポリシーの作成] をクリックします。

表示されるページで、[ビジュアルエディタ] または [JSON] を選択します。

ビジュアルエディタ

パラメータ	説明
効果	Alibaba Cloud サービスに対する権限を RAM ユーザーに付与するかどうかを指定します。例：許可。
サービス	RAM ユーザーに権限を付与する Alibaba Cloud サービスを選択します。例：rds/RDS。
アクション	RAM ユーザーに権限を付与するアクションを選択します。有効な値：[すべてのアクション] および [アクションを選択]。[アクションを選択] を選択した場合は、[すべてのアクション] セクションでアクションを選択し、[選択したアクション] セクションに追加する必要があります。 [DescribDBInstances] を [読み取りアクション] で選択することをお勧めします。そうしないと、インスタンスリストを表示できません。たとえば、次の図に示すように、すべての [読み取りアクション] を選択できます。重要選択したアクションが多すぎてポリシードキュメントの長さが制限を超えた場合は、チケットを送信して長さの制限を変更してください。
リソース	RAM ユーザーに権限を付与するリソースを選択します。有効な値：すべてのリソースおよび指定したリソース。 [指定したリソース] を選択した場合は、リソースの Alibaba Cloud リソースネーム (ARN) 形式に基づいてリソースを追加する必要があります。リソースを追加するには、ARN 形式の右側にある [ソースを追加] をクリックします。重要アクションに必要なリソース ARN には、必須のタグが付けられています。ポリシーが期待どおりに有効になるように、必須のタグが付いたリソース ARN を設定することをお勧めします。たとえば、`acs:rds::{#accountId}:dbinstance/` には必須のタグが付けられています。このリソース ARN を設定しないと、RAM ユーザーはインスタンスリスト内のインスタンスを表示できません。 `acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId}` は必須であり、リージョン、アカウント、およびインスタンス ID によってリソースを照合します。 `acs:rds:{#regionId}:{#accountId}:dbinstance/` は、リージョンとアカウントによってリソースを照合します。 `acs:rds::{#accountId}:dbinstance/` は必須であり、アカウントによってリソースを照合します。 `acs:rds::{#accountId}:dbinstance/{#dbinstanceId}` は必須であり、アカウントとインスタンス ID によってリソースを照合します。説明 RAM 承認は、ARN、リソースグループベースの承認、タグベースの承認など、複数のメソッドをサポートして、きめ細かい管理を実現します。たとえば、指定した RDS インスタンスに対する読み取り専用権限を RAM ユーザーに付与できます。詳細については、「ApsaraDB RDS インスタンスに対する読み取り専用権限を RAM ユーザーに付与する」をご参照ください。
条件	RAM ユーザーに付与する権限の制限を指定します。たとえば、RAM ユーザーがログインできるソース IP アドレスを制限できます。詳細については、「ポリシー要素」をご参照ください。

JSON

コードエディタに次のコードスニペットを入力します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow", // 許可
            "Action": "rds:Describe*", // rds:Describe* で始まるすべてのアクション
            "Resource": "*" // すべてのリソース
        }
    ]
}

説明

JSON モードは、[ビジュアルエディタ] モードよりも効率的です。たとえば、JSON モードでは、コードエディターに Describe* と入力して、名前が Describe で始まるすべての API 操作を指定できます。

[OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、ポリシーの [名前] と [説明] を設定し、[OK] をクリックします。

カスタムポリシーを RAM ユーザーにアタッチします。
1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
2. RAM ユーザーを見つけます。次に、[権限の追加][アクション] 列のをクリックします。
3. [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択します。作成したポリシーを見つけて選択し、[OK] をクリックします。
4. [権限の付与] をクリックします。

上記の手順が完了すると、ApsaraDB RDS コンソールにログインし、RAM ユーザーの認証情報を使用して RDS インスタンスに関する情報を確認できます。ビジネス要件に基づいて、Alibaba Cloud アカウント内の RAM ユーザーに他の権限を付与することもできます。

ApsaraDB RDS API の詳細については、「関数別の操作リスト」をご参照ください。
権限ポリシーの要素の詳細については、「ポリシー要素」をご参照ください。