すべてのプロダクト
Search

このプロダクト

    Container Registry:RAM ユーザーへのシステムポリシーの付与

    ドキュメントセンター

    Container Registry:RAM ユーザーへのシステムポリシーの付与

    最終更新日:Apr 29, 2026

    Alibaba Cloud は、柔軟かつ安全な権限管理を実現するため、Resource Access Management およびセキュリティトークンサービス (STS) を提供しています。本トピックでは、RAM ユーザーにシステムポリシーを付与する方法について説明します。

    前提条件

    Alibaba Cloud アカウントで RAM ユーザーを作成済みである必要があります。詳細については、「RAM ユーザーの作成」をご参照ください。

    背景情報

    Alibaba Cloud は、Resource Access Management (RAM) およびセキュリティトークンサービス (STS) を通じて、柔軟かつ安全な権限モデルを提供しています。デフォルトでは、Alibaba Cloud アカウントは自身のすべてのリソースに対して完全な権限を持ちます。RAM および STS を使用することで、異なる RAM ユーザーに対してイメージリソースに関する異なる権限を付与したり、一時的なアクセス認証情報を発行したりできます。ポリシーを設定する前に、RAM ドキュメントをあらかじめご確認ください。

    重要

    RAM ユーザーにポリシーが付与された後、そのユーザーは Container Registry コンソールにログインし、Personal Edition インスタンスを作成してレジストリパスワードを設定する必要があります。その後で初めて、許可されたイメージリソースを表示できるようになります。

    RAM の注意事項

    RAM を使用して RAM ユーザーに権限を付与する際は、過剰な権限を付与しないよう以下の点にご注意ください。

    重要

    AdministratorAccess ポリシーを RAM ユーザーに付与すると、Container Registry 固有の他のポリシーをアタッチしていても、そのユーザーは Container Registry のすべての機能に対して完全な権限を取得します。

    システムポリシー

    Container Registry には、次の 2 種類の組み込みシステムポリシーが用意されています。AliyunContainerRegistryFullAccess および AliyunContainerRegistryReadOnlyAccess です。これらのポリシーは、直接ユーザーに付与できます。

    • AliyunContainerRegistryFullAccess

      このポリシーを持つ RAM ユーザーは、Alibaba Cloud アカウントと同等のイメージリソースに対する権限を持ち、任意の操作を実行できます。

      {
  "Statement": [
    {
      "Action": "cr:*",
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

    • AliyunContainerRegistryReadOnlyAccess

      このポリシーを持つ RAM ユーザーは、すべてのイメージリソースに対して読み取り専用権限を持ちます。たとえば、リポジトリリストの表示やイメージのプルが可能です。

      {
  "Statement": [
    {
      "Action": [
        "cr:Get*",
        "cr:List*",
        "cr:Pull*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

    操作手順

    本セクションでは、AliyunContainerRegistryReadOnlyAccess ポリシーを RAM ユーザーに付与する手順を説明します。

    1. RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Identities > Users を選択します。

    3. ユーザー ページで、対象の RAM ユーザーを見つけ、Attach Policy 列の Actions をクリックします。

      または、複数の RAM ユーザーを選択し、リスト下部の Attach Policy をクリックして、一度に全員に権限を付与することもできます。

    4. 新規権限

      1. 権限付与の範囲を選択します。

        • Account:現在の Alibaba Cloud アカウント内で権限が有効になります。

        • resource:指定したリソースグループ内で権限が有効になります。

          説明

          リソースグループレベルで権限を付与するには、クラウドサービスがリソースグループをサポートしている必要があります。詳細については、「リソースグループをサポートするサービス」をご参照ください。

      2. プリンシパルを指定します。

        プリンシパルとは、権限を付与されるユーザーのことです。選択した RAM ユーザーが自動的にプリンシパルとして指定されます。

      3. ポリシー 検索ボックスに AliyunContainerRegistryReadOnlyAccess と入力し、検索結果リストから AliyunContainerRegistryReadOnlyAccess をクリックします。

      4. Grant permissions をクリックします。

    5. [閉じる] をクリックします。

    関連ドキュメント