RAM ユーザーに ApsaraDB RDS インスタンスの管理を許可する - ApsaraDB RDS

このトピックでは、Resource Access Management (RAM) を使用して ApsaraDB RDS インスタンスを管理するための RAM ユーザーの承認方法について説明します。

前提条件

RAM ユーザーが作成されていること。詳細については、「RAM ユーザーの作成」をご参照ください。

説明

RAM ユーザーとしてパフォーマンスの最適化と診断に関連する機能を使用する場合は、事前に RAM ユーザーに AliyunHDMFullAccess 権限を付与する必要があります。

背景情報

RAM ユーザーに API 操作を呼び出す権限を付与できます。たとえば、RAM ユーザーに CreateDBInstance 操作を呼び出す権限を付ಯすると、RAM ユーザーは ApsaraDB RDS コンソールで RDS インスタンスを作成できます。

次の手順では、RAM ユーザーに RDS インスタンスに関する情報を確認する権限を付与する方法を示します。 RAM ユーザーに他の権限を付与する手順も同様です。

手順

ポリシーを作成します。

RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[権限管理] > [ポリシー] を選択します。
[ポリシーの作成] をクリックします。

[ビジュアルエディター] または [JSON] を選択します。

ビジュアルエディター

パラメーター	説明
効果	RAM ユーザーに Alibaba Cloud サービスに対する権限を付与するかどうかを指定します。例: [許可]。
サービス	RAM ユーザーに権限を付与する Alibaba Cloud サービスを選択します。例: [ApsaraDB RDS]。
アクション	RAM ユーザーに権限を付与する操作を選択します。有効な値: [すべての操作] または [操作の選択]。 [操作の選択] を選択した場合は、[すべての操作] セクションで操作を選択し、[選択した操作] セクションに追加する必要があります。 [DescribeDBInstances] で [読み取りアクション] を選択することをお勧めします。そうしないと、インスタンスリストを表示できません。重要多くの操作が選択されたためにポリシードキュメントの長さが制限を超えた場合は、して、チケットを送信して、ポリシードキュメントの長さの制限を変更してください。たとえば、すべての [読み取り操作] を選択できます。
リソース	RAM ユーザーに権限を付与するリソースを選択します。有効な値: [すべてのリソース] または [特定のリソース]。 [特定のリソース] を選択した場合は、リソースの Alibaba Cloud リソースネーム (ARN) フォーマットに基づいてリソースを追加する必要があります。リソースを追加するには、ARN フォーマットの右側にある [ソースの追加] をクリックします。次のメソッドが利用可能です: 重要操作に必要なリソース ARN には [必須] のタグが付けられています。ポリシーが期待どおりに有効になるようにするには、必須のタグが付いたリソース ARN を設定することを推奨します。たとえば、`acs:rds::{#accountId}:dbinstance/` には必須のタグが付いています。このリソース ARN を設定しない場合、RAM ユーザーはインスタンスリスト内のインスタンスを表示できません。 `acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId}` (必須): リージョン、アカウント、インスタンス ID でリソースを照合します。 `acs:rds:{#regionId}:{#accountId}:dbinstance/`: リージョンとアカウントでリソースを照合します。 `acs:rds::{#accountId}:dbinstance/` (必須): アカウントでリソースを照合します。 `acs:rds::{#accountId}:dbinstance/{#dbinstanceId}` (必須): アカウントとインスタンス ID でリソースを照合します。説明 RAM 権限付与は、ARN、リソースグループベースの権限付与、タグベースの権限付与などの複数のメソッドをサポートし、詳細な管理を実装します。たとえば、RAM ユーザーに指定された RDS インスタンスに対する読み取り専用権限を付与できます。詳細については、「RAM ユーザーに ApsaraDB RDS インスタンスに対する読み取り専用権限を付与する」をご参照ください。
条件	RAM ユーザーに付与する権限の制限を指定します。たとえば、RAM ユーザーがログインできるソース IP アドレスを制限できます。詳細については、「ポリシーの基本要素」をご参照ください。

スクリプトエディター

コードエディターに次のコードスニペットを入力します:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:Describe*",
            "Resource": "*"
        }
    ]
}

説明

JSON モードは [ビジュアルエディター] モードよりも効率的です。たとえば、JSON モードでは、コードエディターに Describe* と入力して、名前が Describe で始まるすべての API 操作を指定できます。

[OK] をクリックします。 [ポリシーの作成] ダイアログボックスで、[ポリシー名] と [説明] を入力します。ポリシーの内容が正しいことを確認したら、もう一度 [OK] をクリックします。

カスタムポリシーを RAM ユーザーにアタッチします。
1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
2. RAM ユーザーを見つけ、[権限の追加] 列の [操作] をクリックします。
3. [ポリシー] セクションで、[カスタムポリシー] をクリックします。作成したポリシーを見つけて選択します。
4. [権限を付与] をクリックします。

これらの手順を完了すると、RAM ユーザーの認証情報を使用して ApsaraDB RDS コンソールにログインし、RDS インスタンスに関する情報を確認できます。ビジネス要件に基づいて、Alibaba Cloud アカウント内の RAM ユーザーに他の権限を付与することもできます。

詳細については、「機能別の操作一覧」をご参照ください。
詳細については、「ポリシーの基本要素」をご参照ください。