すべてのプロダクト
Search

このプロダクト

    Cloud Architect Design Tools:CADT のカスタムポリシーを作成する

    ドキュメントセンター

    Cloud Architect Design Tools:CADT のカスタムポリシーを作成する

    最終更新日:Jan 21, 2025

    このトピックでは、Cloud Architect Design Tools (CADT) のカスタムポリシーを作成する方法について説明します。カスタムポリシーは、システムポリシーよりも詳細なアクセスの制御を提供します。

    前提条件

    カスタムポリシーを作成する前に、Resource Access Management (RAM) でポリシーを作成または更新するために使用される構造と構文の基本的な知識が必要です。詳細については、「ポリシーの構造と構文」をご参照ください。

    カスタムポリシーの概要

    CADT は、一般的なカスタムポリシー用に次の 3 つのテンプレートを提供しています。これらのテンプレートを使用して、ビジネス要件に基づいて RAM ユーザーのカスタムポリシーを構成できます。

    カスタムポリシー

    説明

    サンプル構成スクリプト

    読み取り専用権限

    CADT を管理するための読み取り専用権限を付与します。

    読み取り専用権限を付与するための構成スクリプト

    インポート権限

    CADT でリソースを検出してインポートするための権限を付与します。

    インポート権限を付与するための構成スクリプト

    管理権限

    CADT を管理するためのすべての権限を付与します。

    管理権限を付与するための構成スクリプト

    説明

    サンプル構成スクリプトには、複数の Alibaba Cloud サービスに対する権限が含まれています。ビジネス要件に基づいて、特定の Alibaba Cloud サービスに対する権限を構成できます。

    手順

    RAM ユーザーを作成する

    1. RAM コンソールにログインします。

    2. cadt-user という名前のテストユーザーを作成します。詳細については、「RAM ユーザーを作成する」をご参照ください。Image 2

    カスタムポリシーを作成する

    1. 読み取り専用権限を持つカスタムポリシーを作成します。1

    2. ポリシーの作成JSON読み取り専用権限を付与するための構成スクリプトポリシー情報を編集するには、横にある ページで、 タブをクリックし、「」をエディターにコピーします。次に、 をクリックします。

      説明

      JSON スクリプトには、複数の Alibaba Cloud サービスに対する読み取り専用権限が含まれています。ビジネス要件に基づいて、特定の Alibaba Cloud サービスに対する読み取り専用権限を構成できます。

      image

    3. ポリシーの名前を指定し、[OK] をクリックします。この例では、cadt-read-only という名前を使用しています。image

    4. 上記の手順を繰り返して、cadt-importインポート権限を持つ cadt-import カスタムポリシーと、cadt-deploy管理権限を持つ cadt-deploy カスタムポリシーを作成します。Image 4

    権限を確認する

    読み取り専用権限を確認する

    読み取り専用権限により、RAM ユーザーは CADT アプリケーションと Alibaba Cloud リソースに読み取り専用モードでアクセスできます。たとえば、読み取り専用権限を持つ RAM ユーザーは、日常の開発とテストのために、CADT でアプリケーションとアーキテクチャ、Elastic Compute Service (ECS) インスタンスの IP アドレスとホスト名、RDS データベースのエンドポイントを表示できます。

    1. Alibaba Cloud アカウントを使用して CADT コンソールにログインし、ECS インスタンスと Elastic IP アドレス (EIP) で構成される cadt-test という名前のアプリケーションをデプロイします。このアプリケーションはテスト用です。image

    2. cadt-read-only ポリシーを cadt-user RAM ユーザーにアタッチします。次の図は、カスタムポリシーを RAM ユーザーにアタッチする方法の例を示しています。Image 5

    3. [概要] ページのログイン URL をクリックし、cadt-user RAM ユーザーとして CADT コンソールにログインします。Image 6Image 7

    4. CADT コンソールの [マイアプリケーション] ページで、アプリケーション cadt-test を含む、Alibaba Cloud アカウントによって作成されたすべてのアプリケーションを表示します。image

    5. ECS インスタンスの詳細など、リソースの詳細を表示します。imageimage

    6. RAM ユーザーがアプリケーションの作成、アーキテクチャの設計、パラメーターの構成はできるが、アプリケーションの保存またはデプロイの権限がないことを確認します。image

    インポート権限を確認する

    インポート権限を持つ RAM ユーザーは、Alibaba Cloud のリソースを検出し、アーキテクチャをデプロイできます。また、RAM ユーザーは、CADT でアプリケーションの作成、リソースの構成、既存のリソースのインポート、リソースの検証、リソース価格の表示、コスト分析レポートの表示を行うこともできます。RAM ユーザーは、CADT でリソースをデプロイすることはできません。

    1. Alibaba Cloud アカウントを使用して、cadt-user RAM ユーザーの読み取り専用権限を削除し、cadt-import ポリシーを RAM ユーザーにアタッチします。Image 19

    2. CADT で RAM ユーザーの権限を確認します。

      1. RAM ユーザーはリソースを検出できます。imageimage

      2. RAM ユーザーは、アプリケーションの作成、パラメーターの構成、アプリケーションの保存を行うことができます。image

      3. RAM ユーザーはリソースを検証できます。image

      4. RAM ユーザーは、リソース価格とコスト分析レポートを表示できます。image

      5. RAM ユーザーはリソースをデプロイできません。image

      6. RAM ユーザーは既存のリソースをインポートできます。image

    管理権限を確認する

    インポート権限で許可される操作に加えて、管理権限により、RAM ユーザーは CADT でリソースをデプロイできます。リソースが誤って削除されるのを防ぐため、ユーザーは [すべてのリソースをリリース] 機能を使用することはできません。ただし、RAM ユーザーは、日常の O&M 要件を満たすために、アーキテクチャ内のリソースを個別に削除できます。

    1. Alibaba Cloud アカウントを使用して、cadt-user RAM ユーザーの他の権限を削除し、cadt-deploy ポリシーを RAM ユーザーにアタッチします。Image 30

    2. RAM ユーザーが、インポート権限で許可される操作に加えて、リソースをデプロイできることを確認します。imageimage

    3. RAM ユーザーが数回クリックするだけで、すべてのリソースをリリースできないことを確認します。image

    4. RAM ユーザーがアーキテクチャ内のリソースを個別に削除できることを確認します。

      imageimageリソースの横に [削除予定] アイコンが追加された後、RAM ユーザーは構成を保存し、アプリケーションを再デプロイしてリソースを削除する必要があります。imageimage