RAMユーザーにApsaraDB RDSインスタンスの読み取り専用権限を付与するにはどうすればよいですか。 - ApsaraDB RDS

RAM権限付与は、Alibaba Cloud Resource Name (ARN) ベースの権限付与、リソースグループベースの権限付与、タグベースの権限付与など、複数の方法をサポートしており、きめ細かい管理を実装しています。このトピックでは、RAMユーザーに指定されたRDSインスタンスの読み取り専用権限を付与する方法について説明します。

前提条件

RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。

手順

説明

Alibaba Cloudアカウントを使用して、次の操作を実行する必要があります。

方法1: ARNベースの認証

ARNベースの権限付与は、リソースARNを使用して、ポリシーの作成時に権限付与される1つ以上のオブジェクトを指定することを示します。これにより、特定のリソースに対する正確なアクセス制御を実装できます。リソースARNの詳細については、「ポリシー要素」をご参照ください。

ポリシーを作成します。
1. Resource Access Management (RAM) コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
3. [ポリシーの作成] をクリックします。
4. 編集モードを選択します。
  - ビジュアルエディタ
    Effectパラメーターを許可に設定します。
    サービスパラメーターをrds / RDSに設定します。
    ActionパラメーターをSelect action(s) に設定します。次に、Describe関連の読み取りアクションを追加します。
    説明
    Describeを検索し、関連するアクションを選択できます。
    [リソース] パラメーターを [指定リソース] に設定します。 ARNの形式はacs:rds :{# regionId }:{# accountId}:dbinstance/{#dbinstanceId} です。 [リソースの追加] ダイアログボックスの [リソース] パラメーターを、ポリシーを適用するRDSインスタンスに設定する必要があります。
    Conditionパラメーターは空のままにします。
    [追加] をクリックします。
    Effectパラメーターを [許可] に、Serviceパラメーターをrds / RDSに設定します。
    ActionパラメーターをDescribeDBInstancesに設定します。
    [リソース] パラメーターを [すべてのリソース] に設定し、[条件] パラメーターを空のままにします。
  - JSON
    コードエディターに次のコードスニペットを入力します。
    { "Statement": [ { "Effect": "Allow", "Action": "rds:Describe*", "Resource": "rdsインスタンスのacs: RDS: *:*:dbinstance/ID" }, { "Effect": "Allow", "アクション": "rds:DescribeDBInstances" 、 "Resource": "*" } ], "バージョン": "1" }
5. [次へ] をクリックしてポリシー情報を編集します。
6. [名前] および [説明] パラメーターを設定します。そして、[OK] をクリックします。
カスタムポリシーをRAMユーザーにアタッチします。
1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
2. カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
3. [許可スコープ] パラメーターを [Alibaba Cloudアカウント] に設定します。 [ポリシーの選択] セクションで、[カスタムポリシー] をクリックし、作成したポリシーを検索してポリシーを選択し、[OK] をクリックします。
4. [完了] をクリックします。
RAMユーザーとしてApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。
1. [インスタンス] ページに移動します。上部のナビゲーションバーで、リージョンを選択し、リージョン内のRDSインスタンスを表示します。
2. 許可されたRDSインスタンスのIDをクリックして、インスタンスに関する情報を表示します。
  説明
  この権限付与方法を使用すると、RAMユーザーは [インスタンス] ページですべてのRDSインスタンスを表示できますが、権限付与されたインスタンスに関する情報のみを表示できます。他の許可されていないインスタンスを表示すると、RAMユーザーの権限が不十分であることを示すメッセージが表示されます。

RAMユーザーには、RDSインスタンスに対する読み取り専用権限が付与されています。ビジネス要件に基づいて、RAMユーザーに他の権限を付与することもできます。

方法2: リソースグループベースの権限付与

リソースグループベースの承認は、承認されるリソースがリソースグループに追加されることを示します。 RAMユーザーに権限を付与すると、許可されたリソースが属するリソースグループを指定して、指定されたリソースグループ内のすべてのリソースに対して正確なアクセス制御を実装できます。

リソースグループを作成します。
1. Resource Management コンソールにログインします。左側のナビゲーションウィンドウで、[リソースグループ] > [リソースグループ] を選択します。
2. 表示されるページで、[リソースグループの作成] をクリックします。表示されるページで、リソースグループ識別子およびリソースグループ名パラメーターを設定します。次に、[確認] をクリックします。
必要なRDSインスタンスを新しいリソースグループに追加します。
1. 必要なRDSインスタンスが追加されているリソースグループを見つけます。次に、リソースグループの [操作] 列で [リソースの管理] をクリックします。この例では、必要なRDSインスタンスがデフォルトリソースグループに追加されます。
2. インスタンスIDで必要なRDSインスタンスを見つけ、インスタンスを選択し、[リソースグループの転送] をクリックします。
3. [転送] パネルで、手順1で作成したリソースグループを選択し、[OK] をクリックします。
4. 表示されるパネルで、[OK] をクリックします。
  作成したリソースグループで必要なRDSインスタンスが見つかった場合、インスタンスのリソースグループが転送されます。
ポリシーを作成します。
1. RAM コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
3. 表示されるページで、[ポリシーの作成] をクリックします。
4. 編集モードを選択します。
  - ビジュアルエディタ
    Effectパラメーターを許可に設定します。
    サービスパラメーターをrds / RDSに設定します。
    ActionパラメーターをSelect action(s) に設定します。次に、Describe関連の読み取りアクションを追加します。
    説明
    Describeを検索し、関連するアクションを選択できます。
    [リソース] パラメーターを [すべてのリソース] に設定します。
    Conditionパラメーターは空のままにします。
  - JSON
    コードエディターに次のコードスニペットを入力します。
    { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:Describe *" ], "Resource": "*" } ] }
5. [次へ] をクリックしてポリシー情報を編集します。
6. [名前] および [説明] パラメーターを設定します。そして、[OK] をクリックします。
カスタムポリシーをRAMユーザーにアタッチします。
1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
2. カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
3. [許可スコープ] パラメーターを [特定のリソースグループ] に設定し、作成したリソースグループを選択します。 [ポリシーの選択] セクションで、[カスタムポリシー] をクリックし、作成したポリシーを検索してポリシーを選択し、[OK] をクリックします。
4. [完了] をクリックします。
RAMユーザーとしてApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。
1. [インスタンス] ページへ移動します。上部のナビゲーションバーで、RDSインスタンスが存在するリージョンを選択します。
2. 次の図に示すように、必要なRDSインスタンスを表示するには、手順1で作成したリソースグループを選択します。

方法3: タグベースの認証

タグベースの承認は、承認が必要なリソースにタグが追加されることを示します。ポリシーを作成すると、ポリシーはタグが追加されたリソースにのみ適用されます。これにより、リソースに対する正確なアクセス制御を実装できます。

RDSインスタンスにカスタムタグを追加します。
1. [インスタンス] ページへ移動します。上部のナビゲーションバーで、RDSインスタンスが存在するリージョンを選択します。次に、RDSインスタンスを見つけます。
2. [タグ] 列で、アイコンをクリックします。次に、[編集] をクリックします。
3. [タグキー] および [タグ値] パラメーターを設定します。そして、[OK] をクリックします。
  この例では、Tag Keyパラメーターはtest-ramに設定され、Tag Valueパラメーターはrds-mysqlに設定されています。これらのパラメーターは意味のある値に設定することを推奨します。
  [タグ] 列に次の情報が表示されている場合、カスタムタグがRDSインスタンスに追加されます。
ポリシーを作成します。
1. RAM コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
3. 表示されるページで、[ポリシーの作成] をクリックします。
4. 編集モードを選択します。
  - ビジュアルエディタ
    Effectパラメーターを許可に設定します。
    サービスパラメーターをrds / RDSに設定します。
    ActionパラメーターをSelect action(s) に設定します。次に、Describe関連の読み取りアクションを追加します。
    説明
    Describeを検索し、関連するアクションを選択できます。
    [リソース] パラメーターを [すべてのリソース] に設定します。
    [条件の追加] をクリックします。表示されるダイアログボックスで、Key、Tag Key、Operator、およびValueのパラメーターを設定します。
    説明
    Keyパラメーターの値は、rds:ResourceTagに固定されています。 Operatorパラメーターの値は、StringEqualsとして固定されています。 Tag KeyおよびValueパラメーターの値は、手順1でRDSインスタンスに追加されたタグのTag KeyおよびTag Valueパラメーターの値と同じである必要があります。
  - JSON
    コードエディターに次のコードスニペットを入力します。
    説明
    コードスニペットでは、test-ramとrds-mysqlは参照用にのみ使用されます。これらの値は、手順1でRDSインスタンスに追加されたタグの [タグキー] および [タグ値] パラメーターの値に置き換える必要があります。
    { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:Describe *" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "rds:ResourceTag/test-ram": [ "rds-mysql" ] } } } ] }
5. [次へ] をクリックしてポリシー情報を編集します。
6. [名前] および [説明] パラメーターを設定します。そして、[OK] をクリックします。
カスタムポリシーをRAMユーザーにアタッチします。
1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
2. カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
3. [許可スコープ] パラメーターを [Alibaba Cloudアカウント] に設定します。 [ポリシーの選択] セクションで、[カスタムポリシー] をクリックし、作成したポリシーを検索してポリシーを選択し、[OK] をクリックします。
4. [完了] をクリックします。
RAMユーザーとしてApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。
1. [インスタンス] ページへ移動します。上部のナビゲーションバーで、RDSインスタンスが存在するリージョンを選択します。
2. [タグでフィルタリング] 機能を使用して、手順1でRDSインスタンスに追加されたタグを検索し、RDSインスタンスを表示します。