すべてのプロダクト
Search

このプロダクト

    Container Registry:システムポリシーをRAMユーザーにアタッチする

    ドキュメントセンター

    Container Registry:システムポリシーをRAMユーザーにアタッチする

    最終更新日:Feb 19, 2025

    Alibaba Cloudでは、Resource Access Management とSTS (Security Token Service) を使用して、アカウント内のリソースへのアクセスを柔軟かつ安全に制御できます。 このトピックでは、システムポリシーをRAMユーザーにアタッチする方法について説明します。

    前提条件

    RAMユーザーは、Alibaba Cloudアカウントを使用して作成されます。 詳細については、「RAM ユーザーの作成」をご参照ください。

    背景情報

    Alibaba Cloudでは、RAM (Resource Access Management) とSTS (Security Token Service) を使用して、柔軟で安全な方法でイメージリポジトリへのアクセスを制御できます。 デフォルトでは、Alibaba Cloudアカウントには、アカウントに属するリソースに対するフルアクセス権限があります。 RAMとSTSを使用して、イメージリソースに対する異なる権限を異なるRAMユーザーに付与し、一時的なアクセス権限を提供できます。 権限付与ポリシーを設定する前に、 RAMドキュメント

    重要

    RAMユーザーの権限付与ポリシーを設定した後、RAMユーザーを使用してContainer Registryコンソールにログインし、Personal Editionインスタンスを作成し、レジストリのパスワードを設定してから、RAMユーザーが権限を持つイメージを表示する必要があります。

    RAM ユーザーへの権限付与

    RAMユーザーに権限を付与する前に、RAMユーザーに必要以上の権限を付与しないようにしてください。

    重要

    すべてのAlibaba Cloudリソースに対する管理権限を含むAdministratorAccess権限をRAMユーザーに付与できます。 この場合、RAMユーザーに以前に権限が付与されているかどうかに関係なく、RAMユーザーにはContainer Registryに対するすべての権限が付与されます。

    Container Registryのシステムポリシー

    デフォルトでは、AliyunContainerRegistryFullAccessおよびAliyunContainerRegistryReadOnlyAccessポリシーがContainer Registry用に作成されます。 ポリシーをRAMユーザーに直接アタッチできます。

    • AliyunContainerRegistryFullAccess

      このポリシーは、RAMユーザーにAlibaba Cloudアカウントと同じイメージリソースに対する権限を付与します。 RAMユーザーは、イメージリソースに対するすべての操作を実行できます。 

      {
  "Statement": [
    {
      "Action": "cr:*",
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

    • AliyunContainerRegistryReadOnlyAccess

      このポリシーは、RAMユーザーにすべてのイメージリソースに対する読み取り専用権限を付与します。 たとえば、RAMユーザーはリポジトリリストを表示してイメージをプルできます。 

      {
  "Statement": [
    {
      "Action": [
        "cr:Get*",
        "cr:List*",
        "cr:Pull*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

    手順

    この例では、AliyunContainerRegistryReadOnlyAccessポリシーがRAMユーザーにアタッチされています。

    1. RAMコンソールRAM管理者として ログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. ユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。

      image

      複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。

    4. 権限付与パネルで、RAMユーザーに権限を付与します。

      1. Resource Scopeパラメーターを設定します。

        • アカウント: 権限は現在のAlibaba Cloudアカウントで有効になります。

        • ResourceGroup: 特定のリソースグループに対して権限が有効になります。

          説明

          リソーススコープパラメーターにResourceGroupを選択した場合は、クラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「」をご参照ください。リソースグループと連携するサービス.

      2. プリンシパルを指定します。

        プリンシパルは、権限を付与するRAMユーザーです。 デフォルトでは、現在のRAMユーザーが指定されます。 別のRAMユーザーを指定することもできます。

      3. 入力AliyunContainerRegistryReadOnlyAccessで、ポリシー検索ボックスでポリシーを検索し、AliyunContainerRegistryReadOnlyAccessポリシーを使用します。

      4. [権限付与] をクリックします。

    5. 閉じる.

    関連ドキュメント