このトピックでは、RAM (Resource Access Management) を使用して、Alibaba Cloud アカウントからCSG (Cloud Storage Gateway) へのアクセスを制御する方法について説明します。 アクセス制御を実施するには、RAM ユーザーまたはグループを作成し、必要な権限をユーザーまたはグループに付与する必要があります。
このタスクについて
- RAMユーザー:複数の CSG インスタンスが作成され、組織内の複数のユーザーがこれらのインスタンスにアクセスする必要がある場合は、特定のユーザーがインスタンスにアクセスできるようにするポリシーを作成できます。 Alibaba Cloud アカウントの AccessKey ペアを開示するリスクがなくなり、アカウントの安全性を維持できます。
- RAMユーザーグループ:複数のユーザーグループを作成し、各ユーザーグループに異なる権限を付与できます。 同じグループ内のユーザーを同時に管理できます。
RAM ユーザーの作成
ユーザーグループの作成
Alibaba Cloud アカウントに複数の RAM ユーザーが存在する場合、RAM ユーザーグループを作成し、これらの RAM ユーザーを分類、整理し、ユーザーと権限の管理を簡単にすることができます。 たとえば、同じグループに同じ責任を持つ RAM ユーザーを追加できます。
- Alibaba Cloud アカウントで RAM コンソールへログインします。
- 左側のナビゲーションウィンドウで、 を選択し、[グループの作成] をクリックします。
- グループ名と表示名を入力して、[OK] をクリックします。
RAM ユーザーまたはグループへの権限付与
デフォルトでは、新しい RAM ユーザーまたはグループには権限がありません。 コンソールまたは API 経由でリソースを管理するには、RAM ユーザーまたはグループに権限を付与しておく必要があります。 以下の例に、RAM ユーザーにアクセス権限を付与する方法を示します。
- [権限の追加] ダイアログボックスで、必要な CSG 権限を選択し、RAM ユーザーアカウントに権限を付与します。
Alibaba Cloud にデプロイされた CSG インスタンスにアクセスするには、RAM ユーザーに以下の権限を付与する必要があります。 オンプレミスのゲートウェイにアクセスするには、RAM ユーザーに AliyunHCSSGWFullAccess および AliyunOSSFullAccess 権限を付与しておくだけで済みます。
- AliyunHCSSGWFullAccess:CSGへのフルアクセスを提供します。
- AliyunOSSFullAccess:OSS (Object Storage Service) へのフルアクセスを提供します。
- AliyunVPCFullAccess:VPC (Virtual Private Cloud) へのフルアクセスを提供します。
- AliyunECSFullAccess:ECS (Elastic Compute Service) へのフルアクセスを提供します。
