RAM権限付与は、Alibaba Cloud Resource Name (ARN) ベースの権限付与、リソースグループベースの権限付与、タグベースの権限付与など、複数の方法をサポートしており、きめ細かい管理を実装しています。 このトピックでは、RAMユーザーに指定されたRDSインスタンスの読み取り専用権限を付与する方法について説明します。
前提条件
RAM ユーザーを作成します。 RAMユーザーの作成方法については、「RAMユーザーの作成」をご参照ください。
手順
Alibaba Cloudアカウントを使用して、次の操作を実行する必要があります。
方法1: ARNベースの認証
ARNベースの権限付与は、リソースARNを使用して、ポリシーの作成時に権限付与される1つ以上のオブジェクトを指定することを示します。 これにより、特定のリソースに対する正確なアクセス制御を実装できます。 リソースARNの詳細については、「ポリシー要素」をご参照ください。
ポリシーを作成します。
左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
表示されるページで、[ポリシーの作成] をクリックします。
表示されるページで、[Visual editor] または [JSON] をクリックします。
[OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[名前] と [説明] パラメーターを設定します。 次に、情報を確認し、[OK] をクリックします。
カスタムポリシーをRAMユーザーにアタッチします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[リソーススコープ] パラメーターを、作成したリソースグループに設定します。 [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、作成したポリシーを検索して、ポリシーを選択します。
[権限付与] をクリックします。
RAMユーザーとしてApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。
[インスタンス] ページに移動します。 上部のナビゲーションバーで、リージョンを選択し、リージョン内のRDSインスタンスを表示します。
許可されたRDSインスタンスのIDをクリックして、インスタンスに関する情報を表示します。
説明この権限付与方法を使用すると、RAMユーザーは [インスタンス] ページですべてのRDSインスタンスを表示できますが、権限付与されたインスタンスに関する情報のみを表示できます。 他の許可されていないインスタンスを表示すると、RAMユーザーの権限が不十分であることを示すメッセージが表示されます。
RAMユーザーには、RDSインスタンスに対する読み取り専用権限が付与されています。 ビジネス要件に基づいて、RAMユーザーに他の権限を付与することもできます。
方法2: リソースグループベースの権限付与
リソースグループベースの承認は、承認されるリソースがリソースグループに追加されることを示します。 RAMユーザーに権限を付与すると、許可されたリソースが属するリソースグループを指定して、指定されたリソースグループ内のすべてのリソースに対して正確なアクセス制御を実装できます。
リソースグループを作成します。
Resource Management コンソールにログインします。 左側のナビゲーションウィンドウで、[リソースグループ] をクリックします。
[リソースグループの作成] をクリックします。 表示されるダイアログボックスで、[リソースグループ識別子] および [リソースグループ名] パラメーターを設定し、[OK] をクリックします。
必要なRDSインスタンスを新しいリソースグループに追加します。
必要なRDSインスタンスが追加されているリソースグループを見つけます。 次に、リソースグループの [操作] 列で [リソースの管理] をクリックします。 この例では、必要なRDSインスタンスがデフォルトリソースグループに追加されます。
インスタンスIDで必要なRDSインスタンスを見つけ、インスタンスを選択し、[リソースグループの転送] をクリックします。
[宛先リソースグループの選択] パネルで、手順1で作成したリソースグループを選択し、[OK] をクリックします。
表示されるパネルで、[OK] をクリックします。
作成したリソースグループで必要なRDSインスタンスが見つかった場合、インスタンスのリソースグループが転送されます。
ポリシーを作成します。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
表示されるページで、[ポリシーの作成] をクリックします。
表示されるページで、[Visual editor] または [JSON] をクリックします。
[OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[名前] と [説明] パラメーターを設定します。 次に、情報を確認し、[OK] をクリックします。
カスタムポリシーをRAMユーザーにアタッチします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[リソーススコープ] パラメーターを、作成したリソースグループに設定します。 [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、作成したポリシーを検索して、ポリシーを選択します。
[権限付与] をクリックします。
RAMユーザーを使用してApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。
[インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。
ステップ1で作成したリソースグループを選択して、必要なRDSインスタンスを表示します。
RAMユーザーには、RDSインスタンスに対する読み取り専用権限が付与されています。 ビジネス要件に基づいて、RAMユーザーに他の権限を付与することもできます。
方法3: タグベースの認証
タグベースの承認は、承認が必要なリソースにタグが追加されることを示します。 ポリシーを作成すると、ポリシーはタグが追加されたリソースにのみ適用されます。 これにより、リソースに対する正確なアクセス制御を実装できます。
RDSインスタンスにカスタムタグを追加します。
[インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけます。
[タグ] 列で、アイコンをクリックします。 次に、[編集] をクリックします。
[タグキー] および [タグ値] パラメーターを設定します。 そして、[OK] をクリックします。
この例では、Tag Keyパラメーターは
test-ram
に設定され、Tag Valueパラメーターはrds-mysql
に設定されています。 これらのパラメーターは意味のある値に設定することを推奨します。[タグ] 列に次の情報が表示されている場合、カスタムタグがRDSインスタンスに追加されます。
ポリシーを作成します。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
表示されるページで、[ポリシーの作成] をクリックします。
表示されるページで、[Visual editor] または [JSON] をクリックします。
[OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[名前] と [説明] パラメーターを設定します。 次に、情報を確認し、[OK] をクリックします。
カスタムポリシーをRAMユーザーにアタッチします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[リソーススコープ] パラメーターを、作成したリソースグループに設定します。 [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、作成したポリシーを検索して、ポリシーを選択します。
[権限付与] をクリックします。
RAMユーザーとしてApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。
[インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。
[タグでフィルタリング] 機能を使用して、手順1でRDSインスタンスに追加されたタグを検索し、RDSインスタンスを表示します。
RAMユーザーには、RDSインスタンスに対する読み取り専用権限が付与されています。 ビジネス要件に基づいて、RAMユーザーに他の権限を付与することもできます。