企業メンバーの権限を一元的に管理する場合、リソースディレクトリサービスを有効にすることができます。リソースディレクトリサービスが有効になったら、カスタムアクセス制御ポリシーを設定して、リソースディレクトリ内の企業メンバーの権限境界を定義できます。
背景情報
リソース管理 のリソースディレクトリサービスを使用して、ビジネス要件に基づいて組織構造を確立し、企業アカウントをこの構造に統合できます。このようにして、企業のリソースの階層を確立できます。これにより、企業アカウントとリソースの一元管理が容易になります。詳細については、リソースディレクトリの概要 を参照してください。
リソースディレクトリ制御ポリシーを使用して、リソースディレクトリのさまざまなレベルのリソースの権限境界を一元的に管理できます。これにより、グローバルまたはローカルのアクセス制御ルールを確立できます。
リソースディレクトリ制御ポリシーは、フォルダーやメンバーなどのリソースの構造に基づくアクセス制御ポリシーです。アクセス制御ポリシーは権限を付与するのではなく、権限境界を定義するだけです。リソースディレクトリのメンバーであるアカウントを使用してリソースにアクセスする前に、Resource Access Management(RAM)サービスを使用して、必要な権限をアカウントに付与する必要があります。詳細については、概要 を参照してください。
Tablestoreアクセスの権限境界を管理するには、カスタムアクセス制御ポリシーを使用して、ユーザーがTablestoreにアクセスするために使用できるTLSバージョンを制限し、パブリックアクセスをサポートしていないTablestoreインスタンスのみを作成するように制限できます。
前提条件
リソースディレクトリサービスが有効になっています。組織構造が構築されています。企業メンバーがリソースディレクトリに追加されています。これを行うには、次の手順を実行します。
リソースディレクトリを使用するための招待状を受け取ったら、企業の実名認証に合格したAlibaba Cloudアカウントを使用して、リソースディレクトリを有効にします。詳細については、リソースディレクトリの有効化 を参照してください。
重要個人の実名認証にのみ合格したアカウントは、リソースディレクトリの有効化に使用できません。
企業の組織構造に基づいてフォルダーを作成します。詳細については、フォルダーの作成 を参照してください。
メンバーを作成するか、既存のAlibaba Cloudアカウントをリソースディレクトリに招待します。メンバーをリソースディレクトリのフォルダーに移動します。詳細については、メンバーの作成、Alibaba Cloudアカウントをリソースディレクトリに参加するように招待する、および メンバーの移動 を参照してください。
手順
カスタムアクセス制御ポリシーを使用して、Tablestoreリソース上のリソースディレクトリ内の企業メンバーのアクセス許可を管理できます。
管理アカウントを使用して、コントロールポリシー機能を有効にします。詳細については、コントロールポリシー機能の有効化 を参照してください。
管理アカウントを使用して、JSONタブでカスタムアクセス制御ポリシーを作成します。詳細については、カスタムアクセス制御ポリシーの作成 トピックの「JSONタブでカスタムアクセス制御ポリシーを作成する」セクションを参照してください。
カスタムアクセス制御ポリシーの設定方法の詳細については、カスタムアクセス制御ポリシーの使用 のサンプルポリシーを参照してください。
リソースディレクトリの管理アカウントを使用して、作成したカスタムアクセス制御ポリシーをリソースディレクトリのフォルダーまたはメンバーにアタッチします。詳細については、カスタムアクセス制御ポリシーのアタッチ を参照してください。
設定が完了すると、リソースディレクトリ内のメンバーの権限がカスタムアクセス制御ポリシーで定義されます。