コンソールでのユーザー権限の管理方法 - MaxCompute - Alibaba Cloud ドキュメントセンター

MaxCompute では、コンソール上でロールを割り当てることにより、RAM アカウント（RAM ユーザーおよび RAM ロール）に権限を付与できます。本トピックでは、さまざまな種類の権限を付与する手順と、具体的な例を説明します。

プロジェクトレベルの管理権限の付与

MaxCompute におけるプロジェクトレベルの管理権限には、プロジェクトのセキュリティ設定、プロジェクトレベルのユーザーおよびロール、パッケージ、ラベルベースのアクセス制御、および期限切れの権限の取消しの管理が含まれます。詳細については、「プロジェクト管理権限」をご参照ください。

操作手順

MaxCompute コンソールにログインし、左上隅からリージョンを選択します。
左側のナビゲーションウィンドウで、構成の管理 > プロジェクト管理 を選択します。
プロジェクト管理 ページで、対象のプロジェクトを見つけ、操作列の管理をクリックします。
プロジェクト設定 ページで、ロール権限 タブを選択します。
ロール権限 タブでは、管理者 (Admin) ロールを作成する か、既存の管理者 (Admin) ロールの権限を変更する ことができます。
説明
デフォルトでは、Alibaba Cloud アカウント (root ユーザー) のみがプロジェクト内のロールを管理する権限を持ちます。RAM アカウント（RAM ユーザーまたは RAM ロール）を使用して権限を付与するには、当該 RAM アカウントがプロジェクトに対して管理権限を有している必要があります。
- 管理者 (Admin) ロールの作成
  1. プロジェクトレベルのロールの追加 をクリックして、MaxCompute 権限を持つプロジェクトレベルのロールを作成します。
  2. 新しいロール ダイアログボックスで、プロンプトに従ってロール情報を設定し、OK をクリックします。
    ロールタイプ として「Admin」を選択し、ポリシーを指定します。
- 既存の管理者 (Admin) ロールの権限の変更
  ロール権限 タブで、対象のロールを見つけ、操作列の Modify Authorization をクリックします。ポリシーを変更した後、Confirm をクリックして変更を保存します。
Action および Resource の値について詳しくは、「プロジェクト管理権限本トピックでは、さまざまな管理モジュール向けのポリシー例を提供します。
対象のプロジェクトレベルのロールを見つけ、操作列の メンバー管理 をクリックします。メンバー管理 ダイアログボックスでは、ロールのメンバーを表示したり、ユーザーにロールを割り当てたり、ユーザーをロールから削除したりできます。

ポリシーの例

説明

各モジュールの管理権限には、通常、複数のリソースに対するさまざまな操作および権限が含まれます。以下の例では、ワイルドカード (*) を使用して、単一のステートメントで複数のオブジェクトに権限を付与しています。
Action および Resource の詳細については、「プロジェクト管理権限」をご参照ください。
例中の project_name は、ご利用の MaxCompute プロジェクト名に置き換えてください。

ロール管理

以下のポリシーは、ロールの管理権限を付与します。

{
  "Statement": [
    {
      "Action": [
        "odps:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:odps:*:projects/project_name/authorization/roles",
        "acs:odps:*:projects/project_name/authorization/roles/*/*"
      ]
    }
  ],
  "Version": "1"
}

パッケージ管理

以下のポリシーは、パッケージの管理権限を付与します。

{
  "Statement": [
    {
      "Action": [
        "odps:*"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:odps:*:projects/project_name/authorization/packages",
        "acs:odps:*:projects/project_name/authorization/packages/*",
        "acs:odps:*:projects/project_name/authorization/packages/*/*/*"
      ]
    }
  ],
  "Version": "1"
}

説明

コンソールでパッケージを管理するには、プロジェクトに対する list 権限が必要です。そのため、まずユーザーに現在のプロジェクトに対する list 権限を付与する必要があります。この権限をコンソールで付与する方法については、「プロジェクトレベルのオブジェクト操作権限の付与」をご参照ください。コマンドラインでこの権限を付与する方法については、「コマンドによるユーザー権限の管理」をご参照ください。

プロジェクトのセキュリティ設定

以下のポリシーは、プロジェクトのセキュリティ設定を変更する権限を付与します。

{
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/configurations/*"
      ]
    }
  ],
  "Version":"1"
}

プロジェクトのユーザー管理

以下のポリシーは、プロジェクトのユーザーを管理する権限を付与します。

{
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/users"
      ]
    }
  ],
  "Version":"1"
}

すべての管理権限

以下のポリシーは、すべての管理権限を付与します。

{
  "Statement":[
    {
      "Action":[
        "odps:*"
      ],
      "Effect":"Allow",
      "Resource":[
        "acs:odps:*:projects/project_name/authorization/*"
      ]
    }
  ],
  "Version":"1"
}

プロジェクトレベルのオブジェクト操作権限の付与

プロジェクトレベルのオブジェクト操作権限は、プロジェクトおよびその内部のテーブル、関数、リソースなどのオブジェクトに対する操作に適用されます。操作の例としては、CreateTable、CreateInstance、SelectTable などがあります。詳細については、「プロジェクトおよびプロジェクト内のオブジェクトに対する権限」をご参照ください。

操作手順

MaxCompute コンソールにログインし、左上隅からリージョンを選択します。
左側のナビゲーションウィンドウで、構成の管理 > プロジェクト管理 を選択します。
プロジェクト管理 ページで、対象のプロジェクトを見つけ、操作列の管理をクリックします。
プロジェクト設定 ページで、ロール権限 タブを選択します。
リソースロールを作成する か、既存のリソースロールの権限を変更する ことができます。
説明
デフォルトでは、Alibaba Cloud アカウント (root ユーザー) のみがプロジェクト内のロールを管理する権限を持ちます。RAM アカウント（RAM ユーザーまたは RAM ロール）を使用して権限を付与するには、当該 RAM アカウントがプロジェクトに対して管理権限を有している必要があります。
- リソースロールの作成
  1. プロジェクトレベルのロールの追加 をクリックして、MaxCompute 権限を持つプロジェクトレベルのロールを作成します。
  2. 新しいロール ダイアログボックスで、プロンプトに従ってロール情報を設定し、OK をクリックします。
    ロールタイプ として「Resource」を選択し、ACL またはポリシーを使用して権限を設定します。
- 既存のリソースロールの権限の変更
  - ロール権限 タブで、対象のロールを見つけ、操作列の Modify Authorization をクリックします。その後、ACL またはポリシーの権限を変更します。
権限について詳しくは、「プロジェクトおよびプロジェクト内のオブジェクトに対する権限本トピックでは、コンソールで ACL およびポリシーを使用した権限付与の例を提供します。詳細については、「プロジェクトレベルの管理権限の付与」をご参照ください。
対象のプロジェクトレベルのロールを見つけ、操作列の メンバー管理 をクリックします。メンバー管理 ダイアログボックスでは、ロールのメンバーを表示したり、ユーザーにロールを割り当てたり、ユーザーをロールから削除したりできます。

権限付与の例

説明

プロジェクトレベルのオブジェクト操作権限における Action およびオブジェクトについて詳しくは、「プロジェクトおよびプロジェクト内のオブジェクトに対する権限」をご参照ください。
例中の project_name は、ご利用の MaxCompute プロジェクト名に置き換えてください。

ACL による権限付与

ACL を使用すると、リソースロールにテーブルの作成 (CreateTable)、インスタンスの作成 (CreateInstance)、プロジェクト内のすべてのオブジェクトタイプの一覧表示 (List)、すべてのテーブルのメタデータの読み取り (Describe)、およびテーブルデータの読み取り (Select) の権限を付与できます。以下の図に例を示します。

説明

権限付与中に進行状況バーまたはページを閉じると、処理が中断される場合がありますのでご注意ください。

ポリシーによる権限付与

以下のポリシーは、リソースロールにテーブルの作成 (CreateTable)、インスタンスの作成 (CreateInstance)、プロジェクト内のすべてのオブジェクトタイプの一覧表示 (List) の権限を付与します。また、すべてのテーブルのメタデータの読み取り (Describe) およびテーブルデータの読み取り (Select) の権限も付与します。

{
    "Statement": [{
            "Action": ["odps:CreateTable","odps:CreateInstance","odps:List"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name"]},
        {
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/tables/*"]}],
    "Version": "1"}

以下のポリシーは、名前が tmp で始まるすべてのテーブルに対するメタデータの読み取り (Describe) およびデータのクエリ (Select) の権限を付与します。また、すべてのリソースおよび関数に対する読み取りおよび更新の権限を付与しますが、任意のテーブルを削除する権限は拒否します。

{
    "Statement": [{
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/tables/tmp_*"]},
        {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/resources/*"]},
            {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/functions/*"]},
            {
            "Action": ["odps:Drop"],
            "Effect": "Deny",
            "Resource": ["acs:odps:*:projects/project_name/tables/*"]}],
    "Version": "1"}

プロジェクトでスキーマ単位のデータストレージが有効になっている場合（スキーマ操作）、ポリシーを以下のように変更する必要があります：

{
    "Statement": [{
            "Action": ["odps:Describe","odps:Select"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/tables/tmp_*"]},
        {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/resources/*"]},
            {
            "Action": ["odps:Read","odps:Write"],
            "Effect": "Allow",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/functions/*"]},
            {
            "Action": ["odps:Drop"],
            "Effect": "Deny",
            "Resource": ["acs:odps:*:projects/project_name/schemas/*/tables/*"]}],
    "Version": "1"}

テナントレベルの管理権限の付与

テナントレベルの管理権限は、テナントレベルのユーザーおよびロール権限の管理に使用されます。これらの権限には、テナントユーザーの追加または削除、テナントレベルのロールの作成または削除、テナントレベルのユーザーおよびロールとその権限の表示、ユーザーへのテナントレベルのロールの割り当て、ユーザーからのテナントレベルのロールの取消し、プロジェクトへのテナントレベルのロールの追加、プロジェクトからのテナントレベルのロールの削除が含まれます。

説明

テナントレベルの権限を管理できるのは、Alibaba Cloud アカウント (root ユーザー) またはテナントレベルの Super_Administrator ロールまたは Admin ロールを持つユーザーのみです。

RAM アカウント（RAM ユーザーまたは RAM ロール）に管理権限を付与するには、Alibaba Cloud アカウント (root ユーザー) が当該 RAM アカウントに Super_Administrator ロールまたは Admin ロールを割り当てる必要があります。テナントレベルの Super_Administrator ロールおよび Admin ロールは、広範な管理権限を持ちます。慎重に使用してください。これらの権限の詳細については、「ロール計画」をご参照ください。テナントレベルのロールの詳細については、「テナントレベルのロールへの権限付与」をご参照ください。

MaxCompute コンソールにログインし、左上隅からリージョンを選択します。
左側のナビゲーションウィンドウで、構成の管理 > テナント管理 を選択します。
テナント管理 ページで、ユーザー管理 タブをクリックします。
ユーザー管理 タブで、対象の Resource Access Management (RAM) ユーザーの操作列の ロールの変更 をクリックします。
ロールの編集 ダイアログボックスで、追加するロール エリアからユーザーに割り当てるロールを選択し、役割追加 エリアに移動させ、OK をクリックします。

テナントレベルのオブジェクト操作権限の付与

テナントレベルのオブジェクト操作権限には、クォータおよびネットワーク接続（Networklink）などのテナントレベルのオブジェクトに対する操作権限が含まれます。例としては、use quota や CreateNetworkLink などがあります。これらの権限により、単一のアカウントで複数のプロジェクトにまたがるオブジェクトを管理できるため、権限管理が簡素化されます。テナントレベルのロールの詳細については、「テナントレベルのロールへの権限付与」をご参照ください。

操作手順

MaxCompute コンソールにログインし、左上隅からリージョンを選択します。
左側のナビゲーションウィンドウで、構成の管理 > テナント管理 を選択します。
テナント管理 ページで、ロール管理 タブをクリックします。

ロール管理 ページでは、新しいテナントレベルのロールを作成する か、既存のカスタムロールの権限を管理する ことができます。

説明

テナントレベルのロールの追加

ロール管理 タブで、新しいロール をクリックします。新しいロール ダイアログボックスで、ロール名: および ポリシーの内容: を入力し、OK をクリックしてロールを作成します。

パラメーター	説明
ロール名	テナントレベルのロールの名前です。この名前は、Alibaba Cloud アカウント内で一意である必要があります。長さは 6～64 文字で、英字で始まり、英字、数字、アンダースコア (_) のみを含むことができます。
ポリシー内容	ロールの権限ポリシーです。UI 上でポリシーテンプレートに基づいて、ポリシーのコードを直接編集できます。

既存のテナントレベルのロールの権限の変更
ロール管理 タブで、対象のロールを見つけ、操作列の 権利管理 をクリックします。ポリシードキュメントを変更し、OK をクリックして変更を保存します。

ユーザー管理 タブで、権限を付与するユーザーを見つけ、操作列の ロールの変更 をクリックします。
ロールの編集 ダイアログボックスで、追加するロール エリアからユーザーに割り当てるロールを選択し、役割追加 エリアに移動させ、OK をクリックします。

ポリシーの例

説明

以下の例では、ワイルドカード (*) を使用して、単一のステートメントでグループ化されたオブジェクトに権限を付与しています。
特定の Action および Resource の詳細については、「テナント内のオブジェクトに対する権限」をご参照ください。

例 1：テナントレベルのロールに、すべてのリージョンにおけるすべてのクォータに対する Usage 権限、およびすべての Networklink に対する CreateNetworkLink、List、および Execute 権限を付与します。

{
    "Statement":[
      {
            "Action":[
                "odps:Usage"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:regions/*/quotas/*"
            ]
      },
      {
            "Action":[
                "odps:CreateNetworkLink",
                "odps:List",
                "odps:Execute"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:networklinks/*"
            ]
      }
    ],
    "Version":"1"
}

例 2：テナントレベルのロールに、MaxCompute プロジェクト project_1 および project_2 に対するすべての操作権限を付与します。
```
{
    "Statement":[
        {
            "Action":[
                "odps:*"
            ],
            "Effect":"Allow",
            "Resource":[
                "acs:odps:*:projects/project_1",
                "acs:odps:*:projects/project_1/*",
                "acs:odps:*:projects/project_2",
                "acs:odps:*:projects/project_2/*"
            ]
        }
    ],
    "Version":"1"
}
```
説明
テナントレベルのロールを使用してプロジェクトオブジェクトに対する権限を付与した場合、権限を有効にするには、ロールをプロジェクトに追加する必要があります。プロジェクトの所有者、またはプロジェクトレベルの Super_Administrator もしくは Admin ロールを持つユーザーが、この操作を実行できます。[ロール権限] タブで、[ロールレベル] に [テナント] を選択します。対象のロールを見つけ、[操作] 列にある [有効化] をクリックします。