すべてのプロダクト
Search
ドキュメントセンター

ApsaraDB RDS:RAMユーザーにApsaraDB RDSインスタンスの読み取り専用権限を付与する

最終更新日:Dec 12, 2024

RAM権限付与は、Alibaba Cloud Resource Name (ARN) ベースの権限付与リソースグループベースの権限付与タグベースの権限付与など、複数の方法をサポートしており、きめ細かい管理を実装しています。 このトピックでは、RAMユーザーに指定されたRDSインスタンスの読み取り専用権限を付与する方法について説明します。

前提条件

RAM ユーザーを作成します。 RAMユーザーの作成方法については、「RAMユーザーの作成」をご参照ください。

手順

説明

Alibaba Cloudアカウントを使用して、次の操作を実行する必要があります。

方法1: ARNベースの認証

ARNベースの権限付与は、リソースARNを使用して、ポリシーの作成時に権限付与される1つ以上のオブジェクトを指定することを示します。 これにより、特定のリソースに対する正確なアクセス制御を実装できます。 リソースARNの詳細については、「ポリシー要素」をご参照ください。

  1. ポリシーを作成します。

    1. Resource Access Management (RAM) コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

    3. 表示されるページで、[ポリシーの作成] をクリックします。

    4. 表示されるページで、[Visual editor] または [JSON] をクリックします。

      • ビジュアルエディタ

        1. Effectパラメーターを許可に設定します。

        2. [サービス] パラメーターを [ApsaraDB RDS] に設定します。

        3. ActionパラメーターをSelect action(s) に設定します。 次に、Describe関連の読み取りアクションを追加します。

          説明

          Describeを検索し、関連するアクションを選択できます。

        4. [リソース] パラメーターを [指定リソース] に設定します。 ARNの形式はacs:rds :{# regionId }:{# accountId}:dbinstance/{#dbinstanceId} です。 [リソースの追加] ダイアログボックスの [リソース] パラメーターを、ポリシーを適用するRDSインスタンスに設定する必要があります。image.png

        5. Conditionパラメーターは空のままにします。

        6. [追加] をクリックします。image.png

        7. [Effect] パラメーターを [Allow] に、[Service] パラメーターを [ApsaraDB RDS] に設定します。

        8. ActionパラメーターをDescribeDBInstances関連の読み取りアクションに設定します。

        9. [リソース] パラメーターを [すべてのリソース] に設定し、[条件] パラメーターを空のままにします。

      • JSON

        コードエディターに次のコードスニペットを入力します。

        {
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "rds:Describe*",
              "Resource": "acs:rds:*:*:dbinstance/ID of the RDS instance"
            },
            {
              "Effect": "Allow",
              "Action": "rds:DescribeDBInstances",
              "Resource": "*"
            }
          ],
          "Version": "1"
        }
    5. [OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[名前][説明] パラメーターを設定します。 次に、情報を確認し、[OK] をクリックします。

  2. カスタムポリシーをRAMユーザーにアタッチします。

    1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    2. カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

    3. [リソーススコープ] パラメーターを、作成したリソースグループに設定します。 [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、作成したポリシーを検索して、ポリシーを選択します。

    4. [権限付与] をクリックします。

  3. RAMユーザーとしてApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。

    1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、リージョンを選択し、リージョン内のRDSインスタンスを表示します。

    2. 許可されたRDSインスタンスのIDをクリックして、インスタンスに関する情報を表示します。

      説明

      この権限付与方法を使用すると、RAMユーザーは [インスタンス] ページですべてのRDSインスタンスを表示できますが、権限付与されたインスタンスに関する情報のみを表示できます。 他の許可されていないインスタンスを表示すると、RAMユーザーの権限が不十分であることを示すメッセージが表示されます。

RAMユーザーには、RDSインスタンスに対する読み取り専用権限が付与されています。 ビジネス要件に基づいて、RAMユーザーに他の権限を付与することもできます。

方法2: リソースグループベースの権限付与

リソースグループベースの承認は、承認されるリソースがリソースグループに追加されることを示します。 RAMユーザーに権限を付与すると、許可されたリソースが属するリソースグループを指定して、指定されたリソースグループ内のすべてのリソースに対して正確なアクセス制御を実装できます。

  1. リソースグループを作成します。

    1. Resource Management コンソールにログインします。 左側のナビゲーションウィンドウで、[リソースグループ] をクリックします。

    2. [リソースグループの作成] をクリックします。 表示されるダイアログボックスで、[リソースグループ識別子] および [リソースグループ名] パラメーターを設定し、[OK] をクリックします。

  2. 必要なRDSインスタンスを新しいリソースグループに追加します。

    1. 必要なRDSインスタンスが追加されているリソースグループを見つけます。 次に、リソースグループの [操作] 列で [リソースの管理] をクリックします。 この例では、必要なRDSインスタンスがデフォルトリソースグループに追加されます。

    2. インスタンスIDで必要なRDSインスタンスを見つけ、インスタンスを選択し、[リソースグループの転送] をクリックします。 image

    3. [宛先リソースグループの選択] パネルで、手順1で作成したリソースグループを選択し、[OK] をクリックします。 image

    4. 表示されるパネルで、[OK] をクリックします。

      作成したリソースグループで必要なRDSインスタンスが見つかった場合、インスタンスのリソースグループが転送されます。

  3. ポリシーを作成します。

    1. RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

    3. 表示されるページで、[ポリシーの作成] をクリックします。

    4. 表示されるページで、[Visual editor] または [JSON] をクリックします。

      • ビジュアルエディタ

        1. Effectパラメーターを許可に設定します。

        2. [サービス] パラメーターを [ApsaraDB RDS] に設定します。

        3. ActionパラメーターをSelect action(s) に設定します。 次に、Describe関連の読み取りアクションを追加します。

          説明

          Describeを検索し、関連するアクションを選択できます。

        4. [リソース] パラメーターを [すべてのリソース] に設定します。

        5. Conditionパラメーターは空のままにします。

      • JSON

        コードエディターに次のコードスニペットを入力します。

        {
            "Version": "1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": [
                        "rds:Describe*"
                    ],
                    "Resource": "*"
                }
            ]
        }
    5. [OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[名前][説明] パラメーターを設定します。 次に、情報を確認し、[OK] をクリックします。

  4. カスタムポリシーをRAMユーザーにアタッチします。

    1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    2. カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

    3. [リソーススコープ] パラメーターを、作成したリソースグループに設定します。 [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、作成したポリシーを検索して、ポリシーを選択します。

    4. [権限付与] をクリックします。

  5. RAMユーザーを使用してApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。

    1. [インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。

    2. ステップ1で作成したリソースグループを選択して、必要なRDSインスタンスを表示します。 image

RAMユーザーには、RDSインスタンスに対する読み取り専用権限が付与されています。 ビジネス要件に基づいて、RAMユーザーに他の権限を付与することもできます。

方法3: タグベースの認証

タグベースの承認は、承認が必要なリソースにタグが追加されることを示します。 ポリシーを作成すると、ポリシーはタグが追加されたリソースにのみ適用されます。 これにより、リソースに対する正確なアクセス制御を実装できます。

  1. RDSインスタンスにカスタムタグを追加します。

    1. [インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけます。

    2. [タグ] 列で、imageアイコンをクリックします。 次に、[編集] をクリックします。image

    3. [タグキー] および [タグ値] パラメーターを設定します。 そして、[OK] をクリックします。

      この例では、Tag Keyパラメーターはtest-ramに設定され、Tag Valueパラメーターはrds-mysqlに設定されています。 これらのパラメーターは意味のある値に設定することを推奨します。

      [タグ] 列に次の情報が表示されている場合、カスタムタグがRDSインスタンスに追加されます。image

  2. ポリシーを作成します。

    1. RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

    3. 表示されるページで、[ポリシーの作成] をクリックします。

    4. 表示されるページで、[Visual editor] または [JSON] をクリックします。

      • ビジュアルエディタ

        1. Effectパラメーターを許可に設定します。

        2. [サービス] パラメーターを [ApsaraDB RDS] に設定します。

        3. ActionパラメーターをSelect action(s) に設定します。 次に、Describe関連の読み取りアクションを追加します。

          説明

          Describeを検索し、関連するアクションを選択できます。

        4. [リソース] パラメーターを [すべてのリソース] に設定します。

        5. [条件] セクションで、[条件の追加] をクリックします。 表示されるダイアログボックスで、キータグキー演算子、およびパラメーターを設定します。

          説明

          Keyパラメーターの値は、rds:ResourceTagに固定されています。 Operatorパラメーターの値は、StringEqualsとして固定されています。 Tag KeyおよびValueパラメーターの値は、手順1でRDSインスタンスに追加されたタグのTag KeyおよびTag Valueパラメーターの値と同じである必要があります。

          image

      • JSON

        コードエディターに次のコードスニペットを入力します。

        説明

        コードスニペットでは、test-ramrds-mysqlは参照用にのみ使用されます。 これらの値は、手順1でRDSインスタンスに追加されたタグの [タグキー] および [タグ値] パラメーターの値に置き換える必要があります。

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "rds:Describe*"
              ],
              "Resource": [
                "*"
              ],
              "Condition": {
                "StringEquals": {
                  "rds:ResourceTag/test-ram": [
                    "rds-mysql"
                  ]
                }
              }
            }
          ]
        }
    5. [OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[名前][説明] パラメーターを設定します。 次に、情報を確認し、[OK] をクリックします。

  3. カスタムポリシーをRAMユーザーにアタッチします。

    1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    2. カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

    3. [リソーススコープ] パラメーターを、作成したリソースグループに設定します。 [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、作成したポリシーを検索して、ポリシーを選択します。

    4. [権限付与] をクリックします。

  4. RAMユーザーとしてApsaraDB RDSコンソールにログインし、RDSインスタンスを表示します。

    1. [インスタンス] ページへ移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。

    2. [タグでフィルタリング] 機能を使用して、手順1でRDSインスタンスに追加されたタグを検索し、RDSインスタンスを表示します。image

RAMユーザーには、RDSインスタンスに対する読み取り専用権限が付与されています。 ビジネス要件に基づいて、RAMユーザーに他の権限を付与することもできます。