このトピックでは、Resource Access Management (RAM) を使用して、Alibaba Cloud でリソースグループを作成および権限付与する方法について説明します。 リソースグループを作成して権限を付与すると、グループごとに独自のメンバー、権限、およびリソースを管理できます。

このタスクについて

あるゲーム企業では、3 つのゲームプロジェクトが進行中です。 各プロジェクトにはさまざまなクラウドリソースが必要です。 この企業には、1 つの Alibaba Cloud アカウントと、そのAlibaba Cloud アカウントに属する 100 を超える Elastic Compute Service (ECS) インスタンスがあります。

この企業での要件は以下のとおりです。

  • 独立したプロジェクト管理:プロジェクトマネージャーは、独自のプロジェクトメンバーと、プロジェクトメンバーがクラウドリソースにアクセスするために必要な権限を管理する必要があります。
  • 個別の請求書:企業の財務部門は、各プロジェクトが個別の請求書を受け取ることを求めています。
  • 共有最下位レイヤーネットワーク:企業は、クラウドリソース用の共有最下位レイヤーネットワークを必要としています。

この企業では、以下のソリューションを選択できます。

  • マルチアカウントソリューション
    • このソリューションは、独立したプロジェクト管理をサポートします。 企業は 3 つの Alibaba Cloud アカウント (プロジェクトごとに 1 つのアカウント) を作成し、アカウントごとに 1 人のプロジェクトマネージャーを割り当てます。 次に、プロジェクト マネージャーは、自身のプロジェクト メンバーを管理し、各メンバーの権限を管理します。
    • このソリューションでは、個別の請求書を発行することができます。 デフォルトでは、Alibaba Cloud アカウントごとに個別の請求書を受け取ります。 企業は、Alibaba Cloud が提供する請求書統合機能を使用して、複数の Alibaba Cloud アカウントの請求書を統合できます。
    • このソリューションでは、共有最下位レイヤーネットワークはサポートされません。 異なるアカウントのリソースは、異なるネットワーク間で分離されます。 アカウントの仮想プライベートクラウド (VPC) は、ピアリング接続で接続できます。 ただし、これは管理コストが増大します。
  • シングルアカウントソリューション (タグ付きリソースを使用)
    • このソリューションは、独立したプロジェクト管理が可能です。 企業はグループごとにクラウドリソースにタグ付けできますが、プロジェクトマネージャーは自身のメンバーと各メンバーのアクセス権限を管理することはできません。
    • このソリューションでは、個別の請求書を発行することができます。 企業は、プロジェクトごとにクラウドリソースにタグ付けできます。 その後、各プロジェクトは別々の請求書を受け取ることができます。
    • このソリューションでは、共有最下位レイヤーネットワークがサポートされます。 企業は、タグベースの RAM ポリシーを使用して、RAM ユーザーにリソースのグループへのアクセスを許可できます。 これらのリソースは同一 Alibaba Cloud アカウントに属しており、企業はピアリング接続の料金を支払う必要はありません。
  • リソースグループベースの管理ソリューション
    • このソリューションは、独立したプロジェクト管理をサポートします。 各リソースグループに管理者が存在します。 管理者は、自身のプロジェクト メンバーと各メンバーの権限を管理します。
    • このソリューションでは、個別の請求書を発行することができます。 Alibaba Cloud では、リソースグループが個別の請求書を受け取れる請求書統合機能を提供しています。
    • このソリューションでは、共有最下位レイヤーネットワークがサポートされます。 リソースグループは同一の Alibaba Cloud アカウントに属し、VPC を共有できます。 企業はピアリング接続の料金を支払う必要はありません。 そのため、管理コストを削減できます。

ソリューション

リソースグループベースの管理ソリューションは、企業のあらゆる要件を満たすことができます。 このソリューションにより、企業は 1 つの Alibaba Cloud アカウントで、3 つのプロジェクトに対応する 3 つのリソースグループを作成できます。

リソースグループベースのソリューション
  1. 次の 3 名の RAM ユーザーを作成します: Alice@secloud.onaliyun.com, Bob@secloud.onaliyun.comCharlie@secloud.onaliyun.com.

    詳細については、「RAM ユーザーの作成」をご参照ください。

    説明 以下に、RAM ユーザーをリソースグループ管理者として指定する方法を示しています。 RAM ユーザーの Alice を例に挙げます。
  2. Resource Management コンソールにログインします。
  3. 左側のナビゲーションペインで [リソースグループ] をクリックします。 [リソースグループ] ページで、[リソースグループの作成] をクリックします。
  4. [リソースグループの作成] パネルで、[リソースグループ識別子][表示名] を指定し、[OK] をクリックします。
    説明 Game1、Game2、Game3 の 3 つのリソースグループを作成します。
  5. 作成したリソースグループを確認し、[操作] 列の [権限の管理] をクリックします。
  6. 表示されるページの [権限] タブで、[権限の付与] をクリックします。
  7. [権限付与] パネルの [プリンシパル] フィールドに、入力します Alice@secloud.onaliyun.com.
  8. [ポリシーの選択] セクションの [権限付与ポリシー名] 列で、クリックします AdministratorAccess.
  9. [OK] をクリックします。
  10. [完了] をクリックします。
    説明 上記の手順を繰り返して、Bob と Charlie をリソースグループ管理者に指定します。

タスクの結果

Alice、Bob、および Charlie は、Game1、Game2、および Game3 のリソースグループ管理者です。 管理者には以下の権限が付与されています。

  • 管理者は、ECS コンソールにログインすると、権限を持つリソースグループを表示できます。 管理者は、リソースグループ内の ECS インスタンスを作成および管理することもできます。
    重要 リソースグループ内の ECS インスタンスを表示するには、ECS コンソールの左上隅にあるリソースグループを選択する必要があります。
  • 管理者は、リソース管理コンソールにログインした後、管理者が権限を持つリソースグループの RAM ユーザー、RAM ユーザーグループ、および RAM ロールを管理できます。