:RAM ユーザーへの権限付与

Alibaba Cloudアカウントを使用してResource Access Management (RAM) コンソールにログインし、RAMユーザーに権限を付与できます。 You can grant a RAM user the permissions to access other Alibaba Cloud services. RAMユーザーは、付与された権限で指定されたサービスにのみアクセスできます。 RAMユーザーがMPSを使用できるようにするには、RAMユーザーにMPS、Object Storage Service (OSS) 、Alibaba Cloud CDN、およびMessage Service (MNS) にアクセスする権限を付与する必要があります。 RAMユーザーがアクセスする必要があるサービスのリソースを決定したら、ポリシーテンプレートに基づいてポリシーを作成し、そのポリシーをRAMユーザーにアタッチして権限を付与できます。

1. RAM ユーザーを作成します。
   1. RAM コンソールにログインします。
   2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。 表示されるページで、[ユーザーの作成] をクリックします。
   3. On the Create User page, set the Logon Name and Display Name parameters in the User Account Information section.
   4. ビジネス要件に基づいて、RAMユーザーのアクセス方法を指定します。
      注 Alibaba Cloudアカウントのセキュリティを確保するため、RAMユーザーには1つのアクセス方法のみを選択することを推奨します。 これにより、RAMユーザーが組織を離れた後、RAMユーザーがAccessKeyペアを使用してAlibaba Cloudリソースにアクセスできなくなります。

      アクセス方式	説明
      コンソールアクセス	このオプションを選択した場合、ログオンのセキュリティ設定を完了する必要があります。 これらの設定では、システム生成またはカスタムのログインパスワードを使用するかどうか、次回のログイン時にパスワードをリセットする必要があるかどうか、および多要素認証 (MFA) を有効にするかどうかを指定します。 注 コンソールパスワードパラメーターで [カスタムログオンパスワード] を選択した場合、入力するパスワードはパスワード要件を満たす必要があります。 パスワードポリシーの設定方法の詳細については、「RAM ユーザーのパスワードポリシーの設定」をご参照ください。
      OpenAPIアクセス	このオプションを選択すると、RAMユーザーのAccessKeyペアが自動的に作成されます。 RAMユーザーは、API操作を呼び出すか、SDKを使用してAlibaba Cloudリソースにアクセスできます。

   5. [OK] をクリックします。
      After you click OK, the Safety Verification dialog box appears. 画面上の指示に従って検証を完了します。 Then, an AccessKey pair is automatically created for the RAM user.
   6. [操作] 列の [コピー] をクリックして、ログイン名、ログインパスワード、AccessKey ID、AccessKeyシークレットなどのユーザー情報をクリップボードにコピーします。
      注 We recommend that you store your user information in a secure location for future use.
2. RAMユーザーに権限を付与します。
   1. 左側のナビゲーションウィンドウで、[アイデンティティ]> [ユーザー] を選択します。 表示されるページで、作成したRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
   2. 権限付与スコープを指定します。

      Authorization scope	説明
      Alibaba Cloud アカウント	RAMユーザーに付与された権限は、現在のAlibaba Cloudアカウント内のリソースに対して有効になります。
      特定のリソースグループ	RAMユーザーに付与された権限は、指定されたリソースグループ内のリソースに対して有効になります。

   3. プリンシパルフィールドにプリンシパルを入力します。
      注 プリンシパルは、権限を付与するRAMユーザーです。 デフォルトでは、現在のRAMユーザーが指定されます。 別のRAMユーザーを指定することもできます。
   4. AliyunOSSFullAccess、AliyunCDNFullAccess、AliyunMTSFullAccess、およびAliyunMNSFullAccessポリシーを選択し、[OK] をクリックします。
      注 選択したポリシーには、MPS、OSS、Alibaba Cloud CDN、およびMNSサービスを使用するために必要なすべての権限が含まれています。 RAMユーザーにきめ細かい権限を付与するには、手順3に進み、カスタムポリシーを作成します。
3. オプション: カスタムポリシーを作成します。
   注 さまざまなサービスのRAMユーザーに付与された権限をきめ細かく制御するには、カスタムポリシーを作成し、そのポリシーをRAMユーザーにアタッチします。
   1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。
   2. [ポリシー] ページで [ポリシーの作成] をクリックします。 ポリシーの作成ページが表示されます。
   3. [JSON] タブをクリックします。 取得したAlibaba Cloudリソース名 (ARN) にリソースフィールドを設定し、必要に応じてアクションフィールドを設定します。 その後、[次のステップ] をクリックします。 [基本情報] セクションで、ポリシーの名前を入力します。 [OK] をクリックして検証を完了します。
      注 For more information about how to configure a custom policy, see the following policy templates for OSS, Alibaba Cloud CDN, and MNS.
      • OSSのポリシーテンプレート
        このポリシーは、次の権限を付与します。

        • 指定された入力および出力バケットに対するすべての操作を実行するための権限。
        • バケットのリストを表示する権限。

          {
          "バージョン": "1" 、"ステートメント": [
          {
          "アクション": [
          "oss:*"
          ],
          "リソース": [
          "acs:oss:*:*:$InputBucket" 、"acs:oss:*:*:$InputBucket/*" 、"acs:oss:*:*:$OutputBucket" 、"acs:oss:*:*:$OutputBucket/*"
          ],
          "効果": "許可"
          },
          {
          "アクション": [
          「oss:ListBuckets」
          ],
          "リソース": "*" 、"効果": "許可"
          }
          ]
          }

          注

          • $InputBucket: MPSの入力バケット。 変数を、指定したワークフローで入力として使用するバケットの名前に置き換えます。
          • $OutputBucket: MPSの出力バケット。 変数を、指定したワークフローで出力として使用するバケットの名前に置き換えます。
          • RAMユーザーが視覚化ツールを使用してossで操作を実行するには、OSS: ListBuckets権限が必要です。 RAMユーザーに権限が付与されると、RAMユーザーはすべてのバケットのリストを照会できます。 However, the RAM user can manage only the input and output buckets specified in the policy. oss:ListBuckets権限はすべてのバケットにのみ適用され、特定のバケットには適用されません。
      • MNSのポリシーテンプレート
        このポリシーは、次の権限を付与します。

        • 指定されたキューとトピックに対するすべての操作を実行するための権限。
        • キューとトピックを照会する権限。

          {
          "バージョン": "1" 、"ステートメント": [
          {
          "アクション": [
          "mns:*"
          ],
          "リソース": [
          "acs:mns:$Region:$Uid:/queues/$QueueName" 、"acs:mns:$Region:$Uid:/topics/$TopicName" 、],
          "効果": "許可"
          },
          {
          "アクション": [
          "mns:Get *" 、"mns: リスト *"
          ],
          "リソース": "*" 、"効果": "許可"
          }
          ]
          }

          注

          • $QueueName: MNSキューの名前。 指定したワークフローで通知先となるキュー名に置き換えます。
          • $TopicName: the name of the MNS topic. 変数を、指定したワークフローで通知先として使用するトピックの名前に置き換えます。
      • Alibaba Cloud CDNのポリシーテンプレート
        このポリシーは、次の権限を付与します。

        • The permissions to perform all operations on the specified domain name for CDN.
        • CDNのドメイン名を照会する権限。

          {
          "Version": "1",
          "Statement": [
          {
          "Action": "cdn:*",
          "Resource": [
          "acs:cdn:*:$Uid:domain/$DomainName"
          ],
          "Effect": "Allow"
          },
          {
          "Action": "cdn:Describe*",
          "Resource": "*",
          "Effect": "Allow"
          }
          ]
          }

          注 $DomainName: the domain name for CDN. 変数を、指定されたワークフローで使用されるCDNのドメイン名に置き換えます。
      • RAMのポリシーテンプレート

        このポリシーは、次の権限を付与します。

        RAMロールにアタッチされたポリシーを照会する権限。

        {
            "Statement": [{
                "アクション": ["ram:ListPoliciesForRole"] 、
                "Effect": "Allow",
                "Resource": "*"
            }],
            "バージョン": "1"
        }

   4. [OK] をクリックします。
4. Log on to the MPS console as the RAM user.
   1. In the left-side navigation pane of the RAM console, click Overview. [概要] ページで、[RAMユーザーログイン] のURLをクリックします。
   2. [ユーザー名] および [パスワード] パラメーターを設定し、[ログイン] をクリックしてAlibaba Cloud管理コンソールにログインします。
      注 RAMユーザーとして初めてログインした後、パスワードをリセットする必要があります。
   3. [製品とサービス] タブで、[メディア処理サービス] をクリックし、MPSコンソールに移動します。
   You can use MPS as the RAM user.