RAMユーザーにリソースのプリフェッチと更新を許可する - CDN

既定では、Resource Access Management (RAM) ユーザーにはリソースをプリフェッチまたは更新する権限がありません。システムまたはカスタム権限ポリシーをRAMユーザーにアタッチして、RAMユーザーがリソースをプリフェッチおよび更新できるようにすることができます。

前提条件

RAM ユーザーを作成します。 RAMユーザーが作成されていない場合は、作成します。詳細については、「RAM ユーザーの作成」をご参照ください。

背景情報

デフォルトでは、RAMユーザーにはリソースをプリフェッチまたは更新する権限がありません。 Alibaba Cloud CDNコンソールにログインし、RAMユーザーとしてリソースをプリフェッチまたは更新しようとすると、次のエラーメッセージが表示されます。アカウントがページインターフェイスにアクセスできないか、インターフェイスがRAMアクセス制御をサポートしていません。この場合、RAMユーザーに必要な権限を付与する必要があります。 Error message

RAMは、システムポリシーとカスタムポリシーの2種類の権限ポリシーをサポートしています。システムポリシーまたはカスタムポリシーをRAMユーザーにアタッチして、RAMユーザーがリソースをプリフェッチおよび更新できるようにすることができます。

システムポリシー
システムポリシーはAlibaba Cloudによって自動的に作成され、変更することはできません。システムポリシーは、RAMユーザーにAlibaba Cloud CDNの完全な権限を付与します。システムポリシーを使用してRAMユーザーに権限を付与するには、わずかな手順で済みます。詳細については、「方法1: システムポリシーをRAMユーザーにアタッチする」をご参照ください。
カスタムポリシー
ビジネス要件に基づいてカスタムポリシーを作成、更新、および管理できます。カスタムポリシーは、指定された権限のみをRAMユーザーに付与します。たとえば、カスタムポリシーを使用して、RAMユーザーがリソースのプリフェッチと更新のみを許可したり、ログストレージ機能を管理したりできます。この場合、RAMユーザーには、許可された操作以外の操作を実行する権限はありません。詳細については、「方法2: カスタムポリシーをRAMユーザーにアタッチする」をご参照ください。

方法1: システムポリシーをRAMユーザーにアタッチする

Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用して、RAMコンソールにログインします。
[ユーザー] ページで、必要なRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の追加] パネルで、必要なパラメーターを設定します。
1. [許可されたスコープ] セクションで、[Alibaba Cloudアカウント] を選択します。
2. [システムポリシー] をクリックします。
3. 検索ボックスにAliyunCDNと入力します。 Alibaba Cloud CDNに関連するすべてのシステムポリシーが表示されます。
4. [AliyunCDNFullAccess] をクリックして、[選択済み] リストにポリシーを追加します。
  説明 AliyunCDNFullAccesポリシーは、RAMユーザーにAlibaba Cloud CDNの完全な権限を付与します。 RAMユーザーには、CDN API操作を呼び出し、すべての高速化ドメイン名を管理する権限があります。
[OK] をクリックします。
[完了] をクリックします。

方法2: RAMユーザーにカスタムポリシーをアタッチする

カスタムポリシーを作成します。

Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用して、RAMコンソールにログインします。
左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックします。
ポリシーの内容を入力します。
エディタで、次のポリシー内容を入力します。このポリシーは、プリフェッチおよびリフレッシュAPI操作に対するRAMユーザー権限を付与します。 RAMユーザーはAPI操作を呼び出して、リソースをプリフェッチまたはリフレッシュできます。
```
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "cdn:PushObjectCache",
        "cdn:RefreshObjectCaches" 、
        "cdn:DescribeRefreshTasks" 、
        "cdn:DescribeRefreshQuota"
      ],
      "Resource": "acs:cdn:*:*:*",
      "Effect": "Allow"
    }
  ]
}
```
説明
- Alibaba Cloud CDNのすべてのAPI操作は、カスタムポリシーで定義できます。ビジネス要件に基づいて、他のAPI操作をカスタムポリシーに追加できます。これらのポリシーをRAMユーザーにアタッチすると、RAMユーザーは指定されたAPI操作を呼び出す権限を持ちます。 RAMユーザーに実行権限を付与できる操作の詳細については、「RAM認証」をご参照ください。
- ポリシーの内容は、許可されたリソースセット、操作セット、および許可条件を記述するために特定の構文構造で表現する必要があります。詳細については、「ポリシー要素」および「ポリシー構造と構文」をご参照ください。
[次へ] をクリックしてポリシー情報を編集します。
[名前] および [説明] フィールドを指定します。
カスタムポリシーの内容を確認して最適化します。
- 基本的な最適化
  システムは自動的にポリシーステートメントを最適化します。基本的な最適化中に、システムによって次の操作が実行されます。
  - 不要な条件が削除されます。
  - 不要な配列が削除されます。
- (オプション) 高度な最適化
  ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。システムは、高度な最適化中に次の操作を実行します。
  - 操作と互換性のないリソースまたは条件が分割されます。
  - リソースが絞り込まれます。
  - ポリシーステートメントの重複排除またはマージが行われます。
[OK] をクリックします。

RAM ユーザーへの権限付与

Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用して、RAMコンソールにログインします。
[ユーザー] ページで、必要なRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

[権限の追加] パネルで、次のパラメーターを設定します。

パラメーター	説明
承認済みスコープ	[Alibaba Cloudアカウント] を選択します。許可されたスコープが、現在のAlibaba Cloudアカウントに属するすべてのリソースであることを指定します。 [特定のリソースグループ] は選択しません。
プリンシパル	現在のRAMユーザーが自動的に選択されます。
ポリシーの選択	[カスタムポリシー] タブをクリックします。作成したカスタムポリシーの名前を入力します。この例のカスタムポリシーの名前は`AliyunCdnRefresh`です。ポリシーが表示されたら、ポリシーの名前をクリックして [選択済み] リストに追加します。

[OK] をクリックします。
[完了] をクリックします。

次のステップ

RAMユーザーとしてAlibaba Cloud管理コンソールにログインします