すべてのプロダクト
Search

このプロダクト

    ApsaraMQ for MQTT:RAM ユーザーに権限を付与する

    ドキュメントセンター

    ApsaraMQ for MQTT:RAM ユーザーに権限を付与する

    最終更新日:Jan 14, 2025

    Alibaba Cloud アカウントの AccessKey ペアの漏洩によるリスクを防ぐため、ApsaraMQ for MQTT では、インスタンス、トピック、およびグループに対する権限を Resource Access Management (RAM) ユーザーに付与できます。承認された RAM ユーザーのみが ApsaraMQ for MQTT コンソールでリソースを管理し、SDK を使用してメッセージをパブリッシュおよびサブスクライブし、API オペレーションを呼び出すことができます。

    説明

    ApsaraMQ for MQTT はクロスアカウント認証をサポートしていません。

    シナリオ

    企業 A は ApsaraMQ for MQTT をアクティブ化しています。企業 A の従業員は、インスタンス、トピック、グループなどの ApsaraMQ for MQTT リソースを管理する必要があります。従業員にはそれぞれ異なる職務が割り当てられています。たとえば、リソースを作成する必要がある従業員、メッセージをパブリッシュする必要がある従業員、メッセージをサブスクライブする必要がある従業員などです。この場合、企業 A は従業員に異なる権限を付与する必要があります。

    以下の項目はシナリオについて説明しています。

    • セキュリティ上の理由から、企業 A は Alibaba Cloud アカウントの AccessKey ペアを従業員に開示したくありません。代わりに、企業 A は従業員のために RAM ユーザーを作成し、従業員に異なる権限を付与したいと考えています。

    • 従業員がリソースを管理できるのは、従業員が使用する RAM ユーザーに必要な権限が付与されている場合のみです。RAM ユーザーのすべての費用は、企業 A の Alibaba Cloud アカウントに請求されます。

    • 企業 A は、RAM ユーザーに付与された権限を取り消し、いつでも RAM ユーザーを削除できます。

    このシナリオでは、企業 A は Alibaba Cloud アカウントを使用して、従業員にリソースに対するきめ細かい権限を付与できます。

    手順

    1. 企業 A の Alibaba Cloud アカウントを使用して RAM ユーザーを作成します。

      詳細については、「RAM ユーザーの作成」をご参照ください。

    2. (オプション) 企業 A の Alibaba Cloud アカウントを使用して、新しい RAM ユーザーのカスタムポリシーを作成します。

      詳細については、「カスタムポリシーの作成」をご参照ください。

      ApsaraMQ for MQTT では、インスタンス、トピック、およびグループに対する権限を RAM ユーザーに付与できます。詳細については、「ポリシー」をご参照ください。

    3. 企業 A の Alibaba Cloud アカウントを使用して、RAM ユーザーに権限を付与します。

      詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

    次のステップ

    Alibaba Cloud アカウントを使用して RAM ユーザーを作成した後、RAM ユーザーのログオン名とパスワード、または AccessKey ペアを他のユーザーと共有できます。ユーザーは、以下の手順を実行して Alibaba Cloud 管理コンソールにログオンするか、RAM ユーザーを使用して API オペレーションを呼び出すことができます。

    • Alibaba Cloud 管理コンソールにログオンする

      1. ブラウザで RAM ユーザーログオン ページを開きます。

      2. [RAM ユーザーログオン] ページの [ユーザー名] フィールドに、RAM ユーザーのログオン名を入力し、[次へ] をクリックします。表示されたページで、パスワードを入力します。次に、[ログオン] をクリックします。

        説明

        RAM ユーザーのログオン名は、<$username>@<$AccountAlias> または <$username>@<$AccountAlias>.onaliyun.com 形式です。<$AccountAlias> はアカウントエイリアスを示します。アカウントエイリアスが指定されていない場合は、Alibaba Cloud アカウントの ID が使用されます。

      3. RAM ユーザーセンターページで、コンソールにアクセスするための権限が付与されているサービスをクリックします。

        重要

        ApsaraMQ for MQTT コンソールの [概要] ページには、すべてのインスタンスのメタデータが表示されます。RAM ユーザーを使用して ApsaraMQ for MQTT コンソールの概要ページとホームページにアクセスするには、RAM ユーザーに必要な権限が付与されている必要があります。権限のアクションは mq:MqttMetaData です。RAM ユーザーに必要な権限が付与されていない場合、概要ページとホームページにアクセスするとエラーが返されます。ApsaraMQ for MQTT コンソールでインスタンスのリストを表示するには、RAM ユーザーを使用して概要ページにアクセスした後、RAM ユーザーに必要な権限を付与する必要があります。権限のアクションは mq:ListMqttInstance です。

    • RAM ユーザーの AccessKey ペアを使用して API オペレーションを呼び出す

      コードに RAM ユーザーの AccessKey ID と AccessKey シークレットを指定します。

    参考資料

    RAM とは