Cloud Architect Design Tools (CADT) は、Alibaba Cloud の RAM Access Control および Resource Management フレームワークをネイティブにサポートしています。権限管理機能を使用すると、CADT とそのアプリケーションおよびテンプレートの権限を簡単に管理できます。
概要
CADT コンソールの[権限管理]ページでは、[ユーザーの作成]、[リソースグループの作成]、[ユーザー権限付与]、[リソースグループ権限付与]などの操作を簡単に実行できます。
CADT の[権限管理]機能は、Alibaba Cloud アカウントのみが使用できます。
-
ユーザーの作成:RAM ユーザーを作成し、特定のリソースへのアクセス権限を付与します。
-
リソースグループの作成:ビジネスユニットやプロジェクトなどの基準に基づいて、クラウドリソースをグループ化します。
-
ユーザー権限付与:RAM ユーザーに権限を付与し、対応する Alibaba Cloud リソースへのアクセスを許可します。
-
リソースグループ権限付与:プリンシパルに、リソースグループ内のリソースに対する指定された権限を付与します。
本チュートリアルでは、具体的な例を用いて、CADT における権限管理の使用方法を説明します。
ユースケース
CADT にapp-testとapp-devという 2 つのアプリケーションがあると想定します。開発者 (cadt-dev001) はapp-devのみに、テスト担当者 (cadt-test001) はapp-testのみにアクセスできるよう、権限を付与する必要があります。
前提条件
開始する前に、CADT でapp-testとapp-devという名前の 2 つのアプリケーションを作成します。手順については、CADT アプリケーションの作成をご参照ください。
作成が完了すると、CADT の [すべてのアプリケーション] ページで app-test と app-dev アプリケーションを確認できます。
ステップ 1: ユーザーの作成
まず、開発者 (cadt-dev001) とテスト担当者 (cadt-test001) として、2 つの RAM ユーザーを作成します。
-
Alibaba Cloud アカウントで、CADT コンソールにログインします。
-
上部メニューで、[管理] > [権限管理]を選択し、[権限管理]ページに移動します。
説明CADT の[権限管理]機能は、Alibaba Cloud アカウントのみが使用できます。

-
[権限管理]ページで、[ユーザーの作成]をクリックします。
-
開発者 cadt-dev001 の情報として、[ログイン名] と [表示名] の両方を cadt-dev001 に設定し、[アクセスモード] に [コンソールアクセス] を選択し、[カスタムパスワード] を設定し、[パスワードのリセットが必要] に [リセットは不要] を選択し、[多要素認証] に [不要] を選択してから、[OK] をクリックします。
-
同じ方法でテスト担当者ユーザー (cadt-test001) を作成します。
2 つの RAM ユーザーが作成されると、以下のようになります。
ユーザーリストには、作成された 2 人の RAM ユーザー cadt-dev001 と cadt-test001 が表示されます。
ステップ 2: リソースグループの作成
リソースを分離するために、開発環境 (dev) 用とテスト環境 (test) 用の 2 つのリソースグループを作成します。
-
CADT の権限管理ページで、[リソースグループの作成]をクリックします。

-
開発環境 (dev) リソースグループを作成するには、[リソースグループ識別子] を dev に、[リソースグループ名] を 開発環境 に設定し、[OK] をクリックします。
-
同じ方法でテストリソースグループ (test) を作成します。
操作が完了すると、CADT 権限管理ページに、ステータスが [利用可能] の、新しく作成された 2 つのリソースグループ [開発環境] (dev) と [テスト環境] (test) が表示されます。
ステップ 3: RAM ユーザーへの権限付与
RAM ユーザーとリソースグループを作成した後、RAM ユーザーに特定のリソースグループ内のクラウドリソースを操作する権限を付与します。
-
CADT の権限管理ページで、[ユーザー権限付与]または[リソースグループ権限付付与]のいずれかをクリックできます。
ここでは、[ユーザー権限付与]を例に説明します。 -
開発者
cadt-dev001などのユーザーを選択し、[権限の追加]をクリックします。 -
[権限の追加]パネルで、次の設定を行い、[OK]をクリックします。
-
認可スコープ:権限は、アカウントレベルまたはリソースグループレベルで付与できます。アカウントレベルの認可の場合は、[プリンシパル]フィールドでアカウントを指定します。リソースグループレベルの認可の場合は、リソースグループを指定します。
-
プリンシパル:
cadt-dev001 -
ポリシー:CADT システムポリシーの詳細については、CADT システムポリシーと使用上の注意をご参照ください。システムポリシーが要件を満たさない場合は、カスタムポリシーを作成できます。詳細については、CADT のカスタムポリシーの作成をご参照ください。
この例では、sls-test ユーザーに CADT に対するすべての権限を付与する方法を示します。[ポリシー] 検索ボックスに CADT と入力してポリシーをフィルタリングし、3 つのポリシー [AliyunCADTReadOnlyAccess]、[AliyunCADTFullAccess]、および [AliyunCADTImportAccess] を選択してから、[承認を確認] をクリックします。
-
-
同じ方法で、テストユーザー cadt-test001 に権限を付与します。
ステップ 4: CADT アプリケーションの権限付与
RAM ユーザーに権限を付与した後、CADT アプリケーションを対応するリソースグループに追加します。これにより、ユーザーは権限が付与されたリソースグループ内のアプリケーションのみにアクセスできるようになります。
-
CADT の権限管理ページで、開発環境リソースグループ (dev) などの対応するリソースグループを見つけ、[権限の追加]をクリックします。
-
[権限付与]パネルで、[マイアプリケーション]タブに移動し、
app-devアプリケーションを選択して、[権限付与]をクリックします。 -
承認が完了すると、アプリケーション [app-dev] が開発環境リソースグループの承認済みリソースリストに表示され、そのリソースタイプは [アプリケーション] です。
-
同じ方法で、
app-testアプリケーションをTest Environment(test) リソースグループに追加します。
ステップ 5: 権限の確認
設定が完了したら、開発者 (cadt-dev001) がapp-devのみにアクセスでき、テスト担当者 (cadt-test001) がapp-testのみにアクセスできることを確認します。
-
Alibaba Cloud アカウントで、RAM コンソールの[概要]ページに移動し、ユーザーログイン URL をコピーします。
-
新しいブラウザウィンドウまたはシークレットタブで、ユーザーログイン URL を開きます。開発者ユーザー (cadt-dev001) としてログインします。
-
CADT コンソールに移動します。
cadt-dev001ユーザーは開発環境のみにアクセスでき、権限が正しく設定されていることを確認できます。開発環境に切り替えます。 -
[アプリケーション] > [マイアプリケーション]に移動します。
cadt-dev001アカウントはapp-devアプリケーションのみを表示できます。これで権限が確認できました。
-
同じ手順を繰り返して、テスト担当者ユーザー (cadt-test001) の権限を確認します。これで権限が確認できました。
