Resource Access Management (RAM) ユーザーが Image Search サービスにアクセスする前に、その RAM ユーザーに権限を付与する必要があります。このトピックでは、RAM ユーザーに Image Search の権限を付与する方法について説明します。
背景情報
Resource Access Management (RAM) は、Alibaba Cloud が提供する ID およびアクセス制御サービスです。RAM を使用すると、従業員、システム、アプリケーションなどの RAM ユーザーを作成および管理できます。また、これらの RAM ユーザーがお客様のリソースにアクセスするために持つ権限を制御することもできます。企業内の複数のユーザーがリソース上で共同作業する必要がある場合、RAM を使用することで、Alibaba Cloud アカウントキーの共有を回避できます。代わりに、各ユーザーに必要な最小権限を割り当てることができます。この方法により、ビジネスのセキュリティリスクを軽減できます。
概要
RAM ユーザーに Image Search サービスへのアクセス権限を付与するには、次の方法があります:
一般的なポリシー。
カスタムポリシー。
複雑な構成を避けるために、一般的なポリシーを使用して権限を付与できます。一般的なポリシーが要件を満たさない場合は、カスタムポリシーを使用できます。
RAM がサポートするリージョン
Image Search は、次のリージョンで RAM の権限付与をサポートしています。
リージョン | リージョン ID |
アジア太平洋 SE 1 (シンガポール) | ap-southeast-1 |
中国 (香港) | cn-hongkong |
日本 (東京) | ap-northeast-1 |
ヨーロッパ中央 1 (フランクフルト) | eu-central-1 |
一般的なポリシー
次の 2 つの一般的なアクセスポリシーが利用可能です:
AliyunImageSearchReadOnlyAccess:Image Search への読み取り専用アクセスを許可します。このポリシーは読み取り専用ユーザー向けです。
AliyunImageSearchFullAccess:Image Search への完全な管理アクセスを許可します。このポリシーは管理者向けです。
操作手順:
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[権限] ページで、[権限を付与] をクリックします。
[権限を付与] パネルで、RAM ユーザーに権限を付与します。
リソース範囲パラメーターを設定します。
アカウント:権限付与は現在の Alibaba Cloud アカウントで有効になります。
リソースグループ:権限付与は特定のリソースグループで有効になります。
重要リソース範囲パラメーターとしてリソースグループを選択する場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループと連携するサービス」をご参照ください。リソースグループで権限を付与する方法の詳細については、「リソースグループを使用して、特定の ECS インスタンスを管理する権限を RAM ユーザーに付与する」をご参照ください。
プリンシパルパラメーターを設定します。
プリンシパルは、権限を付与する RAM ユーザーです。一度に複数の RAM ユーザーを選択できます。
ポリシーパラメーターを設定します。
ポリシーには一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
システムポリシー:Alibaba Cloud によって作成されるポリシーです。これらのポリシーは使用できますが、変更はできません。ポリシーのバージョン更新は Alibaba Cloud によって維持されます。詳細については、「RAM と連携するサービス」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess などの高リスクのシステムポリシーを自動的に識別します。高リスクのポリシーをアタッチして、不要な権限を付与しないことを推奨します。
カスタムポリシー:ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除が可能です。詳細については、「カスタムポリシーの作成」をご参照ください。
[OK] をクリックします。
[閉じる] をクリックします。
カスタムポリシー
Image Search は、インスタンスリソースタイプのみをサポートします。RAM を使用して権限を付与する場合、リソースを次のフォーマットで記述する必要があります:
リソースタイプ:instance
権限付与ポリシーでのリソース記述フォーマット:
acs:imagesearch:$regionid:$accountid:instance/$instance$regionid:リージョン ID。すべてのリージョンを指定するには、ワイルドカード文字 (*) を使用します。$accountid:Alibaba Cloud アカウントの ID (例:123456789012****)。ワイルドカード文字として*を使用できます。$instance:インスタンス名 (例:demo123)。ワイルドカード文字として*を使用できます。
リソース | 操作 |
instance/* | 操作の名称と説明は次のとおりです:
|
instance/$instance | 操作の名称と説明は次のとおりです:
|
操作手順:
管理権限を持つ RAM ユーザーとして RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックします。
ポリシー内容を入力します。
RAM ポリシーの構文と構造の詳細については、「ポリシーの構造と構文」をご参照ください。
上部にある [最適化] をクリックします。[最適化] メッセージで、[実行] をクリックしてポリシーを最適化します。
システムは、高度な最適化中に次の操作を実行します:
操作と互換性のないリソースまたは条件を分割します。
リソースを絞り込みます。
ポリシーステートメントを重複排除またはマージします。
[ポリシーの作成] ページで、[OK] をクリックします。
[ポリシーの作成] ダイアログボックスで、[ポリシー名] と [説明] パラメーターを設定し、[OK] をクリックします。
カスタムポリシーの例
例 1
次の権限が必要です:
RAM ユーザーが所属する Alibaba Cloud アカウントの ID は 1234 です。
中国 (上海) リージョン。
すべてのインスタンス。
インスタンスのクリアまたは削除を除くすべてのコンソール権限。
特定の IP アドレスからのみアクセスが許可されます。
ポリシーは次のとおりです:
{ "Statement": [ { "Action": [ "imagesearch:ListInstance", "imagesearch:DescribeInstance", "imagesearch:IncreaseInstance", "imagesearch:InitInstance", "imagesearch:SearchItem", "imagesearch:AddItem", "imagesearch:TagResources", "imagesearch:ListIncrement" ], "Condition": { "IpAddress": { "acs:SourceIp": "xxx.xx.xxx.x/xx" } }, "Effect": "Allow", "Resource": "acs:imagesearch:cn-shanghai:1234:instance/*" } ], "Version": "1" }例 2
必要な権限は次のとおりです:
RAM ユーザーのルートアカウント ID は 1234 です。
すべてのリージョン。
すべてのインスタンス。
コンソールおよび API 操作の完全な権限。
ポリシーは次のとおりです:
{ "Statement": [ { "Action": [ "imagesearch:*" ], "Effect": "Allow", "Resource": "acs:imagesearch:*:1234:instance/*" } ], "Version": "1" }例 3
次の権限が必要です:
RAM ユーザーの Alibaba Cloud アカウント ID は 1234 です。
すべてのリージョン。
インスタンス名は instance12138 です。
完全な操作権限。
ポリシーの詳細は次のとおりです。
{ "Statement": [ { "Action": [ "imagesearch:*" ], "Effect": "Allow", "Resource": "acs:imagesearch:*:1234:instance/instance12138" } ], "Version": "1" }