Bastionhost は Alibaba Cloud アカウントシステムに接続します。デフォルトでは、Alibaba Cloud アカウントは Bastionhost のスーパー管理者です。Bastionhost を使用する場合、Alibaba Cloud アカウントを使用して Resource Access Management (RAM) ユーザーにさまざまな権限を付与し、さまざまなロールの要件を満たすことができます。権限には、管理権限、監査者権限、読み取り専用権限、および O&M エンジニア権限が含まれます。これは最小権限の原則に従い、Bastionhost のセキュリティを確保するのに役立ちます。このトピックでは、RAM ユーザーにさまざまな権限を付与する方法について説明します。
背景情報
RAM ユーザーにさまざまな権限を付与することで、管理権限を管理できます。権限には、管理権限、監査者権限、読み取り専用権限が含まれます。
RAM ユーザーに管理権限が付与されている場合、RAM ユーザーは Bastion Host、ユーザー、および資産を管理できます。 RAM ユーザーは、アクセス制御ポリシーの構成、システム設定の構成、および監査情報の表示も行うことができます。
重要管理権限が付与されている RAM ユーザーを使用して Alibaba Cloud 資産または RAM ユーザーを Bastionhost にインポートする場合は、関連する資産または RAM に対する少なくとも読み取り専用権限を付与する必要があります。たとえば、RAM ユーザーを使用して Elastic Compute Service (ECS) インスタンスを Bastionhost にインポートする場合は、AliyunECSReadOnlyAccess ポリシーを RAM ユーザーにアタッチする必要があります。 RAM ユーザーを Bastionhost にインポートする場合は、AliyunRAMReadOnlyAccess ポリシーを RAM ユーザーにアタッチする必要があります。
RAM ユーザーに監査者権限を付与すると、RAM ユーザーは Bastion Host のコンソールでログやビデオなどの監査情報を表示できます。
RAM ユーザーに読み取り専用権限を付与すると、RAM ユーザーは Bastion Host のコンソールから構成、監査、およびシステム情報を読み取ることのみができます。
RAM ユーザーに O&M エンジニア権限が付与されている場合、RAM ユーザーは [資産 O&M] 機能を使用して O&M 操作を実行できます。
上記の権限は、RAM ユーザーが Bastion Host のコンソールで操作を実行することを制限します。 RAM ユーザーがクライアントベースの O&M を実行する場合、上記の権限は有効になりません。クライアントベースの O&M 操作は、Bastion Host 上のユーザーと資産間の承認関係によって制限されます。ユーザーに資産を管理する権限が付与されると、ユーザーはクライアントを使用して資産で O&M 操作を実行できます。
Alibaba Cloud アカウントには管理権限のみが付与され、Bastionhost ユーザーとして Bastionhost にインポートすることはできません。
1 人の RAM ユーザーにさまざまな種類の権限を付与できます。
前提条件
Bastion Host が作成された Alibaba Cloud アカウント内で RAM ユーザーが作成されます。詳細については、「RAM ユーザーの作成」をご参照ください。
仮想多要素認証 (MFA) デバイスを RAM ユーザーにバインドする場合は、「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。仮想 MFA デバイスを RAM ユーザーにバインドすると、RAM ユーザーが Bastionhost コンソールにログオンしたときに構成した MFA 設定に基づいて、Bastionhost は RAM ユーザーの ID を検証します。
手順
RAM 管理者として RAM コンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
[ユーザー] ページで、必要な RAM ユーザーを見つけ、権限の追加[アクション] 列の をクリックします。
複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に RAM ユーザーに権限を付与することもできます。
[権限の追加] パネルで、次のパラメーターを構成します。
[リソーススコープ] パラメーターを構成します。
アカウント: 承認は現在の Alibaba Cloud アカウントで有効になります。
リソースグループ: 承認は特定のリソースグループで有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択する場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに対する権限の付与方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
プリンシパルパラメーターを構成します。
プリンシパルは、権限を付与する RAM ユーザーです。現在の RAM ユーザーが自動的に選択されます。
1 つ以上のポリシーを選択します。
[権限の付与] をクリックします。
[閉じる] をクリックします。