Alibaba Cloud Resource Access Management (RAM) を使用して、RAMユーザーにApsaraDB RDSインスタンスを管理する権限を付与できます。
説明
Alibaba Cloudアカウント内に作成されたすべてのRDSインスタンスは、そのアカウントが所有するリソースです。 デフォルトでは、Alibaba Cloudアカウントが所有するリソースに対してすべての操作を実行する権限があります。
RAMを使用すると、Alibaba Cloudアカウントが所有するリソースにアクセスして管理する権限をRAMユーザーに付与できます。 詳細については、「RAM の概要」、
RAMユーザーには、dbinstanceタイプのリソースに対する権限のみを付与できます。 これは、リソース権限がインスタンスレベルであることを意味します。 次のセクションでは、権限を付与するリソースを指定する方法について説明します。
リクエストパラメーター
| リソースタイプ | 権限ポリシーでのリソースの記述方法 |
|---|---|
| dbinstance | acs:rds:$regionid:$accountid:dbinstance/$dbinstanceid acs:rds:$regionid:$accountid:dbinstance/ acs:rds:::dbinstance/ |
次の表に、リソースの説明で使用されるパラメーターを示します。
| 項目 | 説明 |
|---|---|
| インスタンスが属するリージョンの ID。 このパラメータには、ワイルドカードを設定することができます (*). |
| インスタンスの名前です。 このパラメーターはワイルドカード (*) に設定できます。 |
| Alibaba CloudアカウントのID。 このパラメーターはワイルドカード (*) に設定できます。 |
例
説明
- 次の例では、ActionパラメーターにRAMユーザーに付与する権限を指定します。 これらの権限は、API操作によって表されます。 たとえば、CreateBackup操作はバックアップの作成に使用されるアクセス許可を示し、ModifyBackupPolicy操作はバックアップ設定の変更に使用されるアクセス許可を示します。 ApsaraDB RDS APIによって提供される操作を理解する必要があります。 これにより、ビジネス要件に基づいてRAMユーザーに適切な権限を付与できます。 詳細については、「API overview」をご参照ください。
- 権限設定の詳細については、「ポリシー構造と構文」をご参照ください。
- RAMユーザーに、すべてのRDSインスタンスを表示する権限と、単一のRDSインスタンスのバックアップのみを作成および管理する権限を付与します。 さらに、これらの権限は2020年8月17日に期限切れになるように設定します。
{ "Statement": [ { "Action": [ "rds:CreateBackup" 、 "rds:ModifyBackupPolicy" ], "効果": "許可"、 "リソース":[ "acs:rds:*:*:*/rm-bpxxxxxxx" ], "Condition": { "DateLessThan": { "acs:CurrentTime": "2020-08-17T23:59:59 08:00" } } }, { "Action": [ "rds:Describe *" ], "効果": "許可"、 "リソース":[ "acs:rds:*:*:*/*" ], "Condition": { "DateLessThan": { "acs:CurrentTime": "2020-08-17T23:59:59 08:00" } } } ], "バージョン": "1" }
ApsaraDB RDS APIの認証ルール
RAMユーザーがAPI操作を使用してインスタンスへのアクセスを要求すると、ApsaraDB RDSはRAMと通信して、RAMユーザーが必要な権限を持っていることを確認します。 チェックする必要のあるアクセス許可は、要求されたリソースと、呼び出されたAPI操作で使用される構文によって異なります。