このトピックでは、Chat Appリソースを使用するためのRAMユーザーの承認方法と、RAMユーザーが権限を持つリソースへのアクセスを承認する方法について説明します。 RAMユーザーは、対応するインスタンスと機能にアクセスして操作できます。
リソースグループの作成とリソースの転送
Alibaba Cloudアカウント登録と企業認証を完了します。
[リソースグループ] コンソールにログインし、リソースグループを作成して、リソースをリソースグループに転送します。 Chat Appメッセージサービスでは、リソースはインスタンスです。
リソースグループは、Alibaba Cloudアカウント下のすべてのインスタンスのグループです。ビジネス要件に基づいて、インスタンスを異なるリソースグループに分割できます。たとえば、リソースグループ CustomerA を作成し、顧客 A のアカウント下のすべてのインスタンスをこのグループに転送します。
[リソースグループ] ページで、[リソースグループの作成] をクリックします。[リソースグループの作成] ダイアログボックスで、[リソースグループ ID] と [リソースグループ名] を設定します。
[リソース管理] ページで、[リソース転送] をクリックします。Channel ID(つまり、Chat App Message Service コンソール > [チャネル管理] ページから取得したもの)でリソースを検索し、対応するリソースを選択します。
リソースグループが作成されます。
リソースグループの詳細については、「リソースグループの概要」をご参照ください。
RAMユーザーへの権限の付与
複数のユーザーがAlibaba Cloudアカウントを使用して同時にリソースにアクセスする場合、Alibaba Cloudアカウントに対して複数のResource Access Management(RAM)ユーザーを作成し、RAMユーザーにオンデマンドでリソースを使用するための最小限の権限を付与できます。このようにして、RAMユーザーベースのアクセス制御を実装し、ユーザーがアカウントキーを共有することを防ぎ、管理効率を向上させ、情報漏洩のリスクを軽減できます。
RAMは、ユーザーIDとリソースアクセス許可を管理するためにAlibaba Cloudが提供するサービスです。 RAMユーザーはRAMアカウントとして機能します。 Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成し、RAMユーザーに異なる権限を付与できます。このようにして、RAMユーザーは異なるリソースにアクセスできます。詳細については、「RAMとは」および「RAMユーザーの概要」をご参照ください。
前提条件
Alibaba Cloudアカウントに少なくとも 1 人のRAMユーザーが作成されています。詳細については、「RAMユーザーの作成」をご参照ください。
手順
Alibaba Cloudアカウントを使用して、[RAMコンソール] にログインします。
カスタム権限ポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。
RAMユーザーに権限を付与します。
システムポリシーまたはカスタムポリシーをRAMユーザーにアタッチして、RAMユーザーに関連リソースへのアクセスまたは管理権限を付与します。詳細については、「RAMユーザーへの権限の付与」をご参照ください。
ポリシーがRAMユーザーにアタッチされると、RAMユーザーはECSコンソールにログインして特定のリソースを管理できます。詳細については、「RAMユーザーとしてAlibaba Cloud管理コンソールにログインする」をご参照ください。
承認情報
カスタムポリシーを使用するには、ビジネスの権限制御要件とChat Appによるメッセージサービスの承認情報を理解する必要があります。詳細については、「承認情報」をご参照ください。
一般的なカスタムポリシーの例
請求書、プラン、料金に関する権限以外の権限をRAMユーザーに使用することを承認する
この権限は、アカウントレベルで承認する必要があります。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
// 請求書、プラン、料金に関する権限以外の権限
"cams:QueryProductOpenStatus",
"cams:RAM*",
"cams:UpdateOpenService",
"cams:GetCurrentRole",
"cams:ListDict",
"cams:ListLanguage",
"cams:ListCountry",
"cams:ListVariableType",
"cams:Add*",
"cams:Associate*",
"cams:Audit*",
"cams:*BeeBot*",
"cams:Bind*",
"cams:*Chat*",
"cams:Cpass*",
"cams:*Flow*",
"cams:CreateMassPlanning",
"cams:*Phone*",
"cams:DeleteAgent",
"cams:*Contact*",
"cams:*Group*",
"cams:*Instagram*",
"cams:*Messenger*",
"cams:*Message*",
"cams:*Whatsapp*",
"cams:*Facebook*",
"cams:*Generate*",
"cams:GetAuditRequestByTypeUnAudit",
"cams:IsvGetAppId",
"cams:ListAllAudit",
"cams:ListAuditAndFailByType",
"cams:ListChannelsForBinding",
"cams:*Cust*",
"cams:ListDayUseDetail",
"cams:ListIntent",
"cams:ListMessengerPage",
"cams:*Viber*",
"cams:ListProduct",
"cams:ListProductCatalog",
"cams:ListSenderIdReport",
"cams:ListSwitchVariable",
"cams:*Waba*",
"cams:Modify*",
"cams:Read*",
"cams:RefundResourceBagCallback",
"cams:Remove*",
"cams:Select*",
"cams:Show*",
"cams:TagResources",
"cams:UntagResources",
"cams:UpdateAccountWebhook",
"cams:UpdateAuditRequest",
"cams:UpdateCheckCode",
"cams:UpdateCommerceSetting",
"cams:UpdateConversationalAutomation",
"cams:GetCommerceSetting",
"cams:GetConversationalAutomation",
"cams:GetCountryList",
"cams:GetDefaultLanguage",
"cams:GetDownloadApplicationMaterials",
"cams:GetDownloadExcelList",
"cams:GetFileStringByFileName",
"cams:GetUserStatus",
"cams:*Template*",
"cams:GetSearchTreeData",
"cams:GetPermissionByCode",
"cams:*Oss*",
"cams:GetMigrationVerifyCode",
"cams:*Href*",
"cams:AddAddressRecoverSuspend",
"cams:ChangeResourceGroup",
"cams:ListTagResources"
],
"Resource": "*"
}
]
}RAMユーザーの請求ブロックに関する権限を承認する
RAMユーザーに請求ブロック権限を付与すると、RAMユーザーはすべての請求書を表示できます。この操作を実行する際は注意してください。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
// 請求、パッケージ関連の権限
"cams:*Bill*",
"cams:QueryThreshold",
"cams:*Package*"
],
"Resource": "*"
}
]
}