複数のユーザーが共有リソースで共同作業する場合、ロールに基づいてさまざまなレベルのアクセス権を RAM ユーザーに付与することで、権限を委任できます。このアプローチにより、管理効率が向上し、情報漏洩のリスクが軽減されます。このトピックでは、リソースレベルの認証を使用して RAM ユーザーの権限を制御し、さまざまな Auto Scaling リソースに特定のアクセス権と操作権限を付与する方法について説明します。
背景情報
-
Alibaba Cloud では、ポリシーで権限を管理します。さまざまなロールに基づいて RAM 関連のポリシーを設定できます。ポリシーでは、リソースレベルの権限を定義し、1 つ以上のポリシーを RAM ユーザーまたはユーザーグループにアタッチできます。ポリシーの詳細については、「ポリシー概要」をご参照ください。
-
リソースレベルの認証なしで Auto Scaling リソースの権限を管理するのは不便です。たとえば、リージョン内のすべてのリソースなど、粗粒度でしか権限を付与できません。Auto Scaling のリソースレベルの認証では、特定のリソースに権限を付与できるため、より高い柔軟性が得られます。
説明RAM の詳細については、「RAM とは」をご参照ください。
シナリオ
以下のシナリオでは、リソースレベルの認証を実装する方法を説明します。
|
シナリオ |
権限目標 |
|
シナリオ 1:スケーリンググループを作成してから、リソースレベルの認証ポリシーを設定 例:
|
スケーリンググループ 1 へのすべての操作を許可し、スケーリンググループ 2 へのすべての操作を拒否します。 |
|
特定のリージョン、たとえば China (Hangzhou) でのみスケーリンググループの作成を許可します。他のリージョン、たとえば China (Beijing) での作成は拒否します。 |
リソースレベルの認証をサポートしない API
リソースレベルの権限を付与するポリシーを RAM ユーザーにアタッチした後、次の API ではリソースレベルの認証はサポートされません。
|
API |
リソースレベルの認証がサポートされない |
|
DescribeRegions |
はい |
|
スケーリンググループに関連付けられていないスケジュールされたタスクの場合:
|
はい |
|
スケーリンググループに関連付けられていないアラームタスクの場合:
|
はい |
手順
開始する前に、RAM ユーザーが作成されていることを確認してください。詳細については、「RAM ユーザーの作成」をご参照ください。
シナリオ 1:スケーリンググループを作成してからポリシーを設定
-
2 つのスケーリンググループを作成します。
詳細については、「スケーリンググループの管理」をご参照ください。
-
スケーリンググループ 1:名前 asg-001、ID asg-bp17np35ywjwh2cx****。
-
スケーリンググループ 2:名前 asg-002、ID asg-bp1c5pl2qc6ozgbl****。
-
-
RAM コンソールにログインします。
-
カスタムポリシーを作成します。
詳細については、「カスタムポリシーの作成」をご参照ください。
このカスタムポリシーを使用すると、Auto Scaling コンソールまたは API を呼び出すことによって、スケーリンググループ asg-001 の表示、変更、削除ができます。asg-002 へのこれらの操作は拒否されます。
カスタムポリシーの例:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ess:*", "Resource": "acs:ess:cn-hangzhou:160998252992****:scalinggroup/asg-bp17np35ywjwh2cx****" }, { "Effect": "Deny", "Action": "ess:*", "Resource": "acs:ess:cn-hangzhou:160998252992****:scalinggroup/asg-bp1c5pl2qc6ozgbl****" }, { "Effect": "Allow", "Action": [ "ess:DescribeRegions", "ess:CreateScheduledTask", "ess:ModifyScheduledTask", "ess:DescribeScheduledTasks", "ess:DeleteScheduledTask", "ess:CreateAlarm", "ess:DescribeAlarms", "ess:ModifyAlarm", "ess:EnableAlarm", "ess:DeleteAlarm" ], "Resource": "*" } ] } -
カスタムポリシーを RAM ユーザーにアタッチします。
詳細については、「RAM ユーザーへの権限付与」をご参照ください。
-
Auto Scaling コンソールを使用するか、API を呼び出して、asg-001 と asg-002 を表示、変更、削除します。
スケーリンググループ asg-001 では、表示、変更、削除などの通常の操作を実行できます。ただし、asg-002 ではこれらの操作を実行できません。エラーが返され、リソースレベルの認証が機能していることが確認できます。
エラーコード
Forbidden.Unauthorizedとメッセージ「The user is not authorized to perform this operation because the user is not granted the required permissions. Please grant permissions and try again.」を受信すると、リソースレベルの認証が機能していることが確認できます。
シナリオ 2:ポリシーを設定してからスケーリンググループを作成
-
RAM コンソールにログインします。
-
カスタムポリシーを作成します。
詳細については、「カスタムポリシーの作成」をご参照ください。
このカスタムポリシーを使用すると、Auto Scaling コンソールまたは API を使用して、China (Hangzhou) リージョンにスケーリンググループを作成できます。China (Beijing) リージョンでのこれらの操作は拒否されます。
カスタムポリシーの例:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ess:*", "Resource": "acs:ess:cn-hangzhou:160998252992****:*" }, { "Effect": "Deny", "Action": "ess:*", "Resource": "acs:ess:cn-beijing:160998252992****:*" }, { "Effect": "Allow", "Action": [ "ess:DescribeRegions", "ess:CreateScheduledTask", "ess:ModifyScheduledTask", "ess:DescribeScheduledTasks", "ess:DeleteScheduledTask", "ess:CreateAlarm", "ess:DescribeAlarms", "ess:ModifyAlarm", "ess:EnableAlarm", "ess:DeleteAlarm" ], "Resource": "*" } ] } -
カスタムポリシーを RAM ユーザーにアタッチします。
詳細については、「RAM ユーザーへの権限付与」をご参照ください。
-
Auto Scaling コンソールを使用するか、API を呼び出してスケーリンググループを作成します。
China (Hangzhou) リージョンではスケーリンググループを作成できますが、China (Beijing) リージョンでは作成できません。エラーが返され、リソースレベルの認証が機能していることが確認できます。
エラーコード
Forbidden.Unauthorizedとメッセージ「The user is not authorized to perform this operation because the user is not granted the required permissions. Please grant permissions and try again.」を受信すると、リソースレベルの認証が機能していることが確認できます。
関連トピック
-
プログラムから RAM ユーザーに権限を付与するには、AttachPolicyToUser API をご参照ください。
-
プログラムからカスタムポリシーを作成するには、CreatePolicy API をご参照ください。
-
プログラムから 1 つ以上のスケーリンググループを作成するには、CreateScalingGroup API をご参照ください。
-
タグベースの認証を使用して権限を管理するには、「タグベースの認証によるスケーリンググループの権限管理」をご参照ください。
-
リソースグループを使用してクラウドリソースをグループ化および管理するには、「リソースグループを使用したスケーリンググループの管理」をご参照ください。