排他モードで Realtime Computeに RAM ロールを付与する - - Alibaba Cloud ドキュメントセンター

本ページでは、排他モードで Realtime Compute に RAM (Resource Access Management) ロールを付与する方法について説明します。

RAM ロールを自動的に付与する手順

[許可] をクリックして、認証ページに移動します。

注このメッセージは、排他モードで Realtime Compute のサービスアカウントにデフォルトの RAM ロールが適切に付与されていない場合にのみ表示されます。
[AliyunStreamDefaultRole] を選択し、[許可] をクリックして、Realtime Compute にデフォルトの RAM ロールを付与します。

注 RAM ロールが付与されたら、Realtime Compute コンソールでページを更新します。その後、サービス操作を実行できます。

RAM ロールの現在のポリシーを確認する

RAM コンソールにログインします。
左側のナビゲーションペインで、[RAM ロール] をクリックします。ページが表示されたら、[RAM ロール名] 列で [AliyunStreamDefaultRole] をクリックします。
AliyunStreamDefaultRole ページで、[権限] タブの [AliyunStreamRolePolicy] をクリックします。

[ポリシードキュメント] タブで、現在のポリシーを確認できます。以下の情報が表示されます。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ots:List*",
        "ots:DescribeTable",
        "ots:Get*",
        "ots:*Row"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "dhs:Create*",
        "dhs:List*",
        "dhs:Get*",
        "dhs:PutRecords",
        "dhs:DeleteTopic"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*",
        "log:Get*",
        "log:Post*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "mns:List*",
        "mns:Get*",
        "mns:Send*",
        "mns:Publish*",
        "mns:Subscribe"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "drds:DescribeDrdsInstance",
        "drds:ModifyDrdsIpWhiteList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "rds:Describe*",
        "rds:ModifySecurityIps*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:AttachNetworkInterface",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:CreateNetworkInterfacePermission"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "oss:*",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

ポリシーの追加

RAM コンソールにログインします。
- Alibaba Cloud アカウントを使用して、RAM コンソールにログインします。
- RAM ユーザーとして RAM コンソールにログインします。
左側のナビゲーションペインで、[権限] > [ポリシー] をクリックします。
ポリシーページで [ポリシーの作成] をクリックします。
カスタムポリシーの作成ページで、ポリシー名およびメモパラメーターを設定します。
[設定モード] で、[可視化] または [スクリプト] を選択します。
- [可視化] を選択した場合は、[ステートメントの追加] をクリックします。表示されるページで、権限の効果、アクション、およびリソースを設定します。
- [スクリプト] を選択した場合、ポリシー構造と構文に基づいてポリシースクリプトを編集します。

[ポリシードキュメント] のコードボックスに以下のコードを入力して、[OK] をクリックします。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:AttachNetworkInterface",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:CreateNetworkInterfacePermission"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

注クラスターの作成後、以下の権限を削除できます。

ecs:CreateSecurityGroup
ecs:AuthorizeSecurityGroup

左側のナビゲーションペインで [RAM ロール] をクリックします。ページが表示されたら、[AliyunStreamDefaultRole] の [操作] 列で [権限の追加] をクリックします。
[権限の追加] ダイアログボックスが表示されたら、[ポリシーの選択] セクション内のドロップダウンリストから [システムポリシー] を選択し、右側の検索ボックスに 「AliyunOSSFullAccess」 と入力します。
[ポリシー名] 列で [AliyunOSSFullAccess] をクリックします。
[ポリシーの選択] セクション内のドロップダウンリストから [カスタムポリシー]を選択します。
右側の検索ボックスに「AliyunStreamDefaultRole」と入力します。
[ポリシー名] 列で [AliyunStreamDefaultRole] をクリックします。
[OK] をクリックします。