質問

SLB権限の定義を確認

SLB OpenAPIドキュメントのRAM の権限付与を参照してください。

RAMユーザーにSLB読み取り専用権限を割り当て

RAMコンソールでRAMユーザーを作成し、システム権限付与ポリシー "AliyunSLBReadOnlyAccess"をユーザーに追加します。 権限付与ポリシーの追加方法の詳細は、権限の付与を参照してください。

RAMユーザーに完全なSLBアクセス権限を付与

システム権限付与ポリシー "AliyunSLBFullAccess"をRAMユーザーに追加します。

RAMユーザーに2つの特定SLBインスタンスを管理するための権限を付与

カスタマイズ権限付与ポリシーの機能を使用する必要があります。 たとえば、2つのインスタンスがあり、そのIDはi-001とi-002とします:

まず、i-001とi-002の管理権限と、すべてのSLBリソースの確認権限を含むカスタマイズ権限付与ポリシーを作成する必要があります。


  "Statement": [
    
      "Effect": "Allow",
      "Action": "slb:*",
      "Resource": [
                  "acs:slb:*:*:loadbalancer/i-001",
                  "acs:slb:*:*:loadbalancer/i-002"
                  
    
    
      "Effect": "Allow",
      "Action": "slb:Describe*",
      "Resource": "*"
    
  
  "Version": "1"

そしてそのユーザーに上記の権限付与ポリシーを追加します。

SLBインスタンスの管理権限を付与されたRAMユーザーは、インスタンス内でECSサーバーの追加、削除、重みの設定などの操作を行うと、操作権限がないと通知されます。

SLBでは、ECSサーバ操作インタフェースは、SLBリソースの権限だけでなく、ECSサーバの権限に対する検査も行います。 それは、インスタンスの権限を取得したRAMユーザーの勝手な行為(不要なサーバーをSLBインスタンスに追加するなど)を防止するためです。

例えば、ECSサーバーi-001をSLBインスタンスslb-001に追加する場合は、次の権限をアカウントに付与する必要があります:


  "Statement": [
    
      "Effect": "Allow",
      "Action": "slb:AddBackendServers",
      "Resource": ["acs:slb:*:*:loadbalancer/slb-001"]
    
    
      "Effect": "Allow",
      "Action": "slb:AddBackendServers",
      "Resource": ["acs:ecs:*:*:instance/i-001"]
    
    
        "Effect": "Allow",
        "Action": "slb:DescribeLoadBalancers",
        "Resource": "acs:slb:*:*:loadbalancer/*"
    
  
  "Version": "1"

権限付与プロセスを簡略化しようと考える場合は、SLBインスタンスの管理権限さえ付与すれば、 自由にサーバーにインスタンスを追加でき、いかなるインスタンスの重みを設定できるようになります。 権限付与ポリシーは次を参照してください。 この権限付与ポリシーでは、すべてのSLBインスタンスの操作権限を ECSリソースに追加できます。


  "Statement": [
    
      "Effect": "Allow",
      "Action": "slb:*",
      "Resource": [
                  "acs:slb:*:*:loadbalancer/i-001",
                  "acs:slb:*:*:loadbalancer/i-002"
                  
    
    
      "Effect": "Allow",
      "Action": "slb:Describe*",
      "Resource": "*"
    
    
      "Effect": "Allow",
      "Action": "slb:*",
      "Resource": "acs:ecs:*:*:*"
    
  
  "Version": "1"