すべてのプロダクト
Search

このプロダクト

    Resource Orchestration Service:リソースへのアクセスを制御するために RAM を使用する

    ドキュメントセンター

    Resource Orchestration Service:リソースへのアクセスを制御するために RAM を使用する

    最終更新日:Apr 11, 2025

    Resource Access Management (RAM) は、ユーザー ID を管理し、リソースへのアクセスを制御するために Alibaba Cloud が提供するサービスです。 RAM ユーザーを作成し、リソースに対する操作を実行する権限を RAM ユーザーに付与できます。企業内の複数のユーザーがリソースを共同で管理する必要がある場合は、RAM を使用して、ユーザーに必要な最小限の権限を付与できます。これにより、Alibaba Cloud アカウントとパスワードの機密性が維持され、データリスクが軽減されます。

    RAM ユーザーを作成し、RAM ユーザーに権限を付与する

    RAM ユーザーにシステムポリシーをアタッチする

    1. Alibaba Cloud アカウントを使用して、RAM コンソール にログオンします。

    2. 左側のナビゲーションペインで、[設定] をクリックして基本設定を構成します。

      RAM ユーザーのセキュリティ設定を構成できます。詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。

    3. 左側のナビゲーションペインで、[ID] > [ユーザー] を選択します。[ユーザー] ページで、[ユーザーの作成] をクリックします。 [ユーザーの作成] ページで、RAM ユーザーを作成し、RAM ユーザーのログオンパスワードと AccessKey ペアを構成します。

      詳細については、「RAM ユーザーの作成」をご参照ください。

    4. [ユーザー] ページで、目的の RAM ユーザーを見つけ、システムポリシーをアタッチします。

      説明

      • Resource Orchestration Service (ROS) に対する読み取り専用権限を RAM ユーザーに付与する場合は、AliyunROSReadOnlyAccess ポリシーを RAM ユーザーにアタッチします。

      • ROS に対するすべての権限を RAM ユーザーに付与する場合は、AliyunROSFullAccess ポリシーを RAM ユーザーにアタッチします。

    RAM ユーザーにカスタムポリシーをアタッチする

    1. 左側のナビゲーションペインで、[権限] > [ポリシー] を選択します。 [ポリシー] ページで、[ポリシーの作成] をクリックしてカスタムポリシーを作成します。

      RAM ユーザーにカスタムポリシーをアタッチして、RAM ユーザーがスタックに対する操作を実行できるようにすることができます。詳細については、「カスタムポリシーの作成」をご参照ください。

      ポリシーには複数のステートメントを含めることができます。各ステートメントのアクション要素とリソース要素を指定する必要があります。 ROS に指定できるアクション要素とリソース要素の詳細については、「承認可能な ROS リソースの種類」をご参照ください。

    2. 左側のナビゲーションペインで、[ID] > [ユーザー] を選択します。表示されるページで、目的の RAM ユーザーを見つけ、カスタムポリシーをアタッチします。

      説明

      カスタムポリシーを RAM ユーザーグループにアタッチすることもできます。 RAM ユーザーグループに権限を付与すると、グループ内のすべての RAM ユーザーに権限が付与されます。

    ROS のカスタムポリシーの例

    • 例 1:スタックを表示する

      次のポリシーは、RAM ユーザーが中国 (北京) リージョンにデプロイされているすべてのスタックとその詳細を表示することを許可します。ワイルドカード文字 (*) は、中国 (北京) リージョンにデプロイされているすべてのスタックと一致します。

      {
  "Statement": [
    {
      "Action": [
        "ros:DescribeStacks",
        "ros:DescribeStackDetail"
      ],
      "Effect": "Allow",
      "Resource": "acs:ros:cn-beijing:*:stack/*" // 中国 (北京) リージョンにデプロイされているすべてのスタックを表示できるようにします。
    }
  ],
  "Version": "1"
}

    • 例 2:スタックを作成および表示する

      次のポリシーは、RAM ユーザーがすべてのリージョンでスタックを作成および表示することを許可します。

      {
  "Statement": [
    {
      "Action": [
        "ros:CreateStack", // スタックを作成できるようにします。
        "ros:DescribeStacks", // スタックを表示できるようにします。
        "ros:DescribeStackDetail", // スタックの詳細を表示できるようにします。
        "ros:ValidateTemplate" // テンプレートを検証できるようにします。
      ],
      "Effect": "Allow",
      "Resource": "*" // すべてのリソースに適用されます。
    }
  ],
  "Version": "1"
}

    • 例 3:スタックを更新する

      次のポリシーは、ID が 12345**** の RAM ユーザーが、ID が 94dd5431-2df6-4415-81ca-732a7082**** のスタックを更新することを許可します。

      {
  "Statement": [
    {
      "Action": [
        "ros:UpdateStack"  // スタックを更新できるようにします。
      ],
      "Effect": "Allow",
      "Resource": "acs:ros:cn-beijing:12345****:stack/94dd5431-2df6-4415-81ca-732a7082****" // 指定されたスタックを更新できるようにします。
    }
  ],
  "Version": "1"
}

    • 例 4:ROS のすべての機能とリソースのみにアクセスする

      次のポリシーは、RAM ユーザーが Alibaba Cloud 管理コンソールまたは API を使用して、CIDR ブロック 42.120.XX.XX/24 から HTTPS 経由で ROS のすべての機能とリソースのみにアクセスすることを許可します。このポリシーは、Alibaba Cloud Security Token Service (STS) を使用して ROS に一時的なアクセス権限を付与するかどうかに関係なく有効です。ポリシーには、次のパラメーターが含まれています。

      • acs:SourceIp:値は 42.120.XX.XX/24 に設定されています。値 42.120.XX.XX/24 は、機能とリソースに CIDR ブロック 42.120.XX.XX/24 からアクセスされることを示します。

      • acs:SecureTransport:値は true に設定されています。値 true は、機能とリソースに HTTPS 経由でアクセスされることを示します。

      {
  "Statement": [
    {
      "Effect": "Allow", // 許可
      "Action": "ros:*", // すべての ROS アクションを許可
      "Resource": "*", // すべてのリソースを許可
      "Condition": {  // 条件
        "IpAddress": { // IP アドレスの条件
          "acs:SourceIp": "42.120.XX.XX/24" // 指定された CIDR ブロックからのアクセスを許可
        },
        "Bool": { // ブール値の条件
          "acs:SecureTransport": "true" // HTTPS 経由のアクセスのみを許可
        }
      }
    }
  ],
  "Version": "1"
}

    • 例 5:ROS のすべての機能とリソースにアクセスし、ECS にアクセスするかどうか

      • STS を使用して ROS に一時的なアクセス権限を付与する場合、パススルーモードで acs:SourceIp パラメーターと acs:SecureTransport パラメーターを指定することはできません。この場合、次のポリシーを RAM ユーザーにアタッチして、RAM ユーザーが Alibaba Cloud 管理コンソールを使用するか、CIDR ブロック 42.120.XX.XX/24 から HTTPS 経由で Alibaba Cloud API オペレーションを呼び出すことによって、ROS のすべての機能とリソースにアクセスできるようにすることができます。このポリシーでは、RAM ユーザーは Elastic Compute Service (ECS) を含む他のサービスにアクセスできません。

      • STS を使用して ROS に一時的なアクセス権限を付与しない場合は、次のポリシーを RAM ユーザーにアタッチできます。これにより、RAM ユーザーは Alibaba Cloud 管理コンソールまたは API を使用して、CIDR ブロック 42.120.XX.XX/24 から HTTPS 経由で ROS と ECS のすべての機能とリソースにアクセスできます。このポリシーでは、RAM ユーザーは他のサービスにアクセスできません。

        説明

        STS を使用して ROS に一時的なアクセス権限を付与しない場合は、パススルーモードで acs:SourceIp パラメーターと acs:SecureTransport パラメーターを指定して、次のサービスへのアクセスを許可できます。ECS、Virtual Private Cloud (VPC)、Server Load Balancer (SLB)、ApsaraDB RDS、Tair (Redis OSS 互換)、Alibaba Cloud DNS PrivateZone、Container Service for Kubernetes (ACK)、Function Compute、Object Storage Service (OSS)、Simple Log Service (SLS)、API Gateway、および ActionTrail。

        {
  "Statement": [
    {
      "Effect": "Allow", // 許可
      "Action": [ // アクション
        "ros:*", // すべての ROS アクション
        "ecs:*" // すべての ECS アクション
      ],
      "Resource": "*", // すべてのリソース
      "Condition": { // 条件
        "IpAddress": { // IP アドレスの条件
          "acs:SourceIp": "42.120.XX.XX/24" // 指定された CIDR ブロックからのアクセス
        },
        "Bool": { // ブール値の条件
          "acs:SecureTransport": "true" // HTTPS 経由のアクセス
        }
      }
    }
  ],
  "Version": "1"
}

    • 例 6:タグベースの認証を使用して ROS リソースにアクセスし、管理する

      次のポリシーは、RAM ユーザーが {"Enviroment": "TEST"} タグが追加されている ROS リソースを管理することを許可します。

      {
  "Statement": [
    {
      "Action": "ros:*", // すべての ROS アクションを許可します。
      "Effect": "Allow", // 許可
      "Resource": "*", // すべてのリソースを許可します。
      "Condition": { // 条件
        "StringEquals": { // 文字列が一致するかどうかを確認します。
          "acs:ResourceTag/Enviroment": "TEST" // リソースタグ Enviroment が TEST と一致する必要があります。
        }
      }
    }
  ],
  "Version": "1"
}