Compute Nest:カスタマーの RAM ユーザーに権限を付与する

背景情報

• Alibaba Cloud アカウントを使用して RAM ユーザーを作成できます。また、管理者権限を持つ別の RAM ユーザーまたは RAM ロールを使用して RAM ユーザーを作成することもできます。 RAM ユーザーは独立した Alibaba Cloud アカウントではありません。代わりに、Alibaba Cloud アカウントに属しています。

• RAM ユーザーは、Alibaba Cloud 管理コンソールへのログインまたは Alibaba Cloud API へのアクセスに使用する独立したパスワードを持っています。 1 つの Alibaba Cloud アカウント内に複数の RAM ユーザーを作成できます。

• RAM ユーザーは、必要な権限が付与された後にのみ、Compute Nest コンソールにログインしてサービスインスタンスを作成できます。ビジネス要件に基づいて、RAM ユーザーにポリシーをアタッチすることで、RAM ユーザーに権限を付与できます。

  RAM ユーザーが Compute Nest コンソールにログインすることのみが必要な場合は、Compute Nest のシステムポリシーのみを RAM ユーザーにアタッチできます。 Compute Nest は、次のシステムポリシーを提供します。

  • AliyunComputeNestUserFullAccess: Compute Nest に対するカスタマーのフルアクセス権限を付与します。

  • AliyunComputeNestUserReadOnlyAccess: Compute Nest に対するカスタマーの読み取り専用権限を付与します。

  RAM ユーザーがサービスインスタンスを作成する必要がある場合は、AliyunComputeNestUserFullAccess に加えて、クラウドリソースに対する権限も RAM ユーザーに付与する必要があります。クラウドリソースの権限は、必須とオプションの 2 つのカテゴリに分類されます。

  • RAM ユーザーがサービスインスタンスを作成する前に、必須のクラウドリソース権限を RAM ユーザーに付与する必要があります。次のセクションでは、必須のクラウドリソース権限を示します。

    • AliyunVPCFullAccess: Virtual Private Cloud (VPC) に対するフルアクセス権限を付与します。

    • AliyunECSFullAccess: Elastic Compute Service (ECS) に対するフルアクセス権限を付与します。

    • AliyunTagAdministratorAccess: タグサービスを使用し、すべての Alibaba Cloud サービスのタグを管理するための権限を付与します。

    • AliyunCloudMonitorFullAccess: CloudMonitor に対するフルアクセス権限を付与します。

    • AliyunROSFullAccess: Resource Orchestration Service (ROS) に対するフルアクセス権限を付与します。

  • 作成するサービスインスタンスに基づいて、オプションのクラウドリソース権限を RAM ユーザーに付与できます。たとえば、RAM ユーザーがサービスインスタンスを作成するときにクラウドリソースにパブリック IP アドレスを割り当てる必要がある場合は、AliyunEIPFullAccess ポリシーを RAM ユーザーにアタッチする必要があります。このポリシーは、Elastic IP Address (EIP) に対するフルアクセス権限を付与します。 RAM と連携する Alibaba Cloud サービスの詳細については、「RAM と連携するサービス」をご参照ください。