:RAMユーザーにResource Centerを使用する権限を付与する

リソースセンターにアクセスするための権限

最小権限の原則に従って、RAMユーザーに権限を付与する必要があります。

• システムポリシー

  • AliyunResourceCenterFullAccess: リソースセンターを管理する権限を付与します。

  • AliyunResourceCenterReadOnlyAccess: リソースセンターの読み取り専用権限を付与します。

• カスタムポリシー

  システムポリシーが要件を満たしていない場合は、カスタムポリシーを作成できます。 Resource Centerの権限付与情報の詳細については、「RAM権限付与」をご参照ください。

リソースセンターでリソースを検索する権限

単一のアカウント内

• リソースを表示する権限

  RAMユーザーにリソースに対する読み取り専用権限が付与されると、リソースセンター内のリソースをRAMユーザーとして表示できます。

  たとえば、RAMユーザーにResource CenterのAlibaba Cloudアカウント内のすべてのリソースを表示させたい場合は、RAMユーザーにシステムポリシーReadOnlyAccessをアタッチできます。 RAMユーザーがResource Centerで仮想プライベートクラウド (VPC) のみを表示する場合は、RAMユーザーにシステムポリシーAliyunVPCReadOnlyAccessをアタッチできます。

• リソースグループ内のリソースを表示する権限

  Alibaba Cloudアカウント内のリソースがリソースグループで管理されている場合、RAMユーザーに特定のリソースグループ内のリソースのみを表示する権限を付与できます。 これにより、RAMユーザーはResource Center内の特定のリソースのみを表示できます。 これはリソースの分離に役立ちます。 詳細については、「RAM権限の追加」をご参照ください。

アカウント全体

システムポリシーAliyunResourceCenterFullAccessがリソースディレクトリの管理アカウント内のRAMユーザーにアタッチされた後、RAMユーザーとしてresource Centerのアカウント間でリソースを検索できます。

resource Centerでリソースグループを管理する権限

• リソースグループを作成する権限

  RAMユーザーにram:CreateResourceGroup権限が付与された後、resource CenterでRAMユーザーとしてリソースグループを作成できます。

• リソースグループ間でリソースを転送する権限

  RAMユーザーにリソースグループ間でリソースを転送する権限が付与されると、リソースセンター内のリソースグループ間でRAMユーザーとしてリソースを転送できます。

たとえば、次のカスタムポリシーをRAMユーザーにアタッチした後、リソースグループを作成し、RAMユーザーとしてresource Centerでリソースグループ間でVPCを転送できます。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateResourceGroup",
        "vpc:MoveResourceGroup"
      ],
      "Resource": "*"
    }
  ]
}

リソースセンターでタグを管理する権限

システムポリシーAliyunTagAdministratorAccessがRAMユーザーにアタッチされた後、RAMユーザーとしてResource Centerのリソースにタグを追加したり、リソースからタグを削除したりできます。