Resource Access Management (RAM) を使用すると、チームメンバーごとに個別のユーザーアカウントを作成し、各アカウントに必要な権限のみを付与できます。認証情報の漏洩リスクがあるご利用の Alibaba Cloud アカウント (root ユーザー) の AccessKey ペアを共有する代わりに、RAM ユーザーに ApsaraMQ for RocketMQ のインスタンス、Topic、グループなどのリソースへの詳細なアクセスを割り当てます。認可された RAM ユーザーのみが、ApsaraMQ for RocketMQ コンソールでリソースを管理し、SDK および API オペレーションを使用してメッセージをパブリッシュおよびサブスクライブできます。
メリット:
ロールベースのアクセスの制御。 開発者にはメッセージのパブリッシュとサブスクライブの権限を付与し、オペレーターにはリソースの作成と管理に制限します。
一元化された課金。 RAM ユーザーのアクティビティは、親 Alibaba Cloud アカウントに課金され、個別のコスト追跡は不要です。
即時取り消し。 いつでも権限を削除したり、RAM ユーザーを削除したりできます。
前提条件
開始する前に、次のことを確認してください。
ApsaraMQ for RocketMQ が有効化されている Alibaba Cloud アカウント
Alibaba Cloud アカウントで RAM ユーザーを管理する権限
RAM の背景情報については、「RAM とは?」をご参照ください。
操作手順
ステップ 1: RAM ユーザーの作成
ApsaraMQ for RocketMQ へのアクセスが必要な各チームメンバーに対して RAM ユーザーを作成します。
詳細な手順については、「RAM ユーザーの作成」をご参照ください。
ステップ 2 (オプション): カスタムポリシーの作成
インスタンス、Topic、グループに対する詳細な権限を定義するために、カスタム権限ポリシーを作成します。
一般的な手順については、「カスタムポリシーの作成」を、このプロダクトに固有のポリシーの例については、「ApsaraMQ for RocketMQ のカスタム権限ポリシー」をご参照ください。
ステップ 3: RAM ユーザーへのポリシーのアタッチ
カスタム権限ポリシーを RAM ユーザーにアタッチします。
ステップバイステップの手順については、「RAM ユーザーへの権限付与」をご参照ください。
RAM ユーザー認証情報の使用
RAM ユーザーを作成し、権限を割り当てた後、認証情報をチームメンバーと共有します。RAM ユーザーは、コンソールまたは API を介して ApsaraMQ for RocketMQ にアクセスできます。
コンソールへのログイン
RAM ユーザーログイン ページを開きます。
RAM ユーザーのログイン名を入力し、[次へ] をクリックし、パスワードを入力し、[ログイン] をクリックします。
説明 ログイン名は<$username>@<$AccountAlias>または<$username>@<$AccountAlias>.onaliyun.comの形式を使用します。<$AccountAlias>はアカウントエイリアスです。アカウントエイリアスが設定されていない場合は、代わりに Alibaba Cloud アカウント ID が使用されます。Alibaba Cloud コンソールで、上部の検索バーで [ApsaraMQ For RocketMQ] を検索して、プロダクトコンソールを開きます。
API オペレーションの呼び出し
RAM ユーザーの AccessKey ID と AccessKey Secret を API リクエストに含めます。RAM ユーザーの AccessKey ペアを作成するには、「AccessKey ペアの作成」をご参照ください。
ベストプラクティス
最小権限アクセスを適用します。 各タスクに必要な最小限の権限のみを付与します。必要でない限り、完全な管理者アクセスを付与することは避けてください。
個人ごとに個別の RAM ユーザーを使用します。 チームメンバー間で RAM ユーザー認証情報を共有しないでください。これにより、正確な監査証跡が提供され、特定の人物のアクセスを簡単に取り消すことができます。