RAM を使用してリソースアクセスを制御 - - Alibaba Cloud ドキュメントセンター

Resource Access Management (RAM) は、ユーザーアカウントの管理およびリソースアクセスの制御のための Alibaba Cloud のサービスです。 RAM を使用して、

ユーザーアカウントが特定のリソーススタックに対して実行できるリソース操作を制御できます。この方法により、リソースアクセスをスタックで制御および管理できます。

RAM の詳細は、をご参照ください。

Alibaba Cloud RAM コンソールにログインします。
左側のナビゲーションウィンドウで [設定] をクリックします。ユーザーアカウントのエンタープライズエイリアス、パスワード強度、およびセキュリティ設定を設定します。設定についてご質問がある場合は、をご参照ください。
左側のナビゲーションウィンドウから [ユーザー] をクリックしてユーザーを作成し、作成したユーザーのログインパスワードと AccessKeys を設定します。詳細は、をご参照ください。

左側のナビゲーションウィンドウで [ポリシー] をクリックして権限付与ポリシーを作成します (事前に作成できます)。詳細は、をご参照ください。

ポリシーの参照は、およびをご参照ください。

以下に、カスタム権限付与ポリシーの操作名、説明、および例を示します。

権限付与ポリシーで以下の情報を使用して [Action] および [Resource] の内容を構築できます。 [Action] は権限を付与する操作、[Resource] は操作するリソーススタックを示します。

ROS の操作


操作	説明
ros:DescribeStacks	スタックリソース一覧を閲覧します。
ros:CreateStack	リソーススタックを作成します。
ros:DeleteStack	リソーススタックを削除します。
ros:UpdateStack	リソーススタックを更新します。
ros:CancelUpdateStack	リソーススタックの更新をキャンセルします。
ros:AbandonStack	リソーススタックを破棄します。
ros:ValidateTemplate	テンプレートを検証します。
ros:DescribeStackDetail	リソーススタックの詳細を閲覧します。
ros:DescribeStackResources	リソース一覧を閲覧します。
ros:DescribeStackResourceDetail	リソースの詳細を閲覧します。
ros:DescribeStackEvents	イベント一覧を閲覧します。
ros:DescribeStackTemplate	テンプレートの内容を閲覧します。

ROS リソース記述子

RAM 権限付与ポリシーでは以下のように操作を記述し、すべてのリソースを表す変数としてアスタリスク (*) を使用できます。

リージョン内のリソーススタックの一覧と詳細を閲覧するための権限付与を記述する構造は、以下のとおりです。

acs:ros:{region_id}:{owner_id}:stack/{stack_name}/{stack_id}

                 <p class="p">コーディング例</p>
                                 <pre class="pre codeblock"><code>acs:ros:cn-beijing:*:stack/myStack/94dd5431-2df6-4415-81ca-732a7082252a
            </code></pre>
                                 <p class="p"><strong class="ph b">例 : リソーススタックを閲覧する権限を付与するポリシー</strong></p>
                 <div class="p">
                                        <pre class="pre codeblock"><code>{

“Statement”: [ { “Action”: [ “ros:DescribeStacks”, “ros:DescribeStackDetail” ], “Effect”: “Allow”, “Resource”: “acs:ros:cn-beijing::stack/“ } ], “Version”: “1”}

                 <p class="p"> このポリシーにより、cn-beijing リージョンのリソーススタックの一覧とリソーススタックの詳細を閲覧する権限を付与します。 ポリシーでは、アスタリスク (*)
                    はワイルドカードで、cn-beijing リージョンのすべてのリソーススタックを示します。 
                 </p>
                 <p class="p"><strong class="ph b"> 例 : リソーススタックを作成および閲覧する権限を付与するポリシー </strong></p>
                                 <pre class="pre codeblock"><code>{

“Statement”: [ { “Action”: [ “ros:CreateStack”, “ros:DescribeStacks”, “ros:DescribeStackDetail”, “ros:ValidateTemplate” ], “Effect”: “Allow”, “Resource”: “*” } ], “Version”: “1”}

このポリシーでは、ユーザーはすべてのリージョンでリソーススタックを作成・閲覧する権限を付与されます。

                 <p class="p"><strong class="ph b"> 例 : 特定のリソーススタックを更新する権限を指定されたユーザーに付与するポリシー</strong></p>
                                 <pre class="pre codeblock"><code>{

“Statement”: [ { “Action”: [ “ros:UpdateStack” ], “Effect”: “Allow”, “Resource”: “acs:ros:cn-beijing:123456789:stack/myStack/94dd5431-2df6-4415-81ca-732a7082252a” } ], “Version”: “1”}

このポリシーにより、ユーザー (ID: 12456789) に、ID “94dd5431-2df6-4415-81ca-732a7082252a” の myStack というタイトルのリソーススタックを更新する権限を付与します。

              </li>
              <li class="li"><span class="keyword wintitle">[ユーザー]</span> または <span class="keyword wintitle">[グループ]</span> の一覧でユーザーまたはグループを見つけ権限を付与します。
              </li>
           </ol>
        </div>
     </article>
  </main>