Resource Access Management (RAM) のシステムポリシーが要件を満たさない場合は、インスタンスレベルまたは操作レベルでの詳細な権限制御を実現するために、カスタムポリシーを作成します。
前提条件
RAM ユーザーに、ご利用の Alibaba Cloud アカウントに属する ApsaraDB for RDS や ECS インスタンスなどのクラウドリソースへのアクセス権限を付与する必要があります。これにより、DTS タスクを設定する際に、関連するクラウドリソースに関する情報を DTS が取得できるようになります。詳細については、「DTS によるクラウドリソースへのアクセス許可」をご参照ください。
背景情報
ポリシーは、特定の構造と構文で記述された権限のセットです。リソースセット、操作セット、および条件を定義します。詳細については、「ポリシーの構造と構文」をご参照ください。
制限事項
-
送信先が MaxCompute プロジェクトであるデータ同期タスクは、RAM ユーザーを使用して設定できません。この種類のタスクは、Alibaba Cloud アカウントを使用して設定する必要があります。
-
RAM ユーザーとして DTS タスクを設定する際、データベースに Database Gateway (DG) または Cloud Enterprise Network (CEN) 経由でアクセスする場合は、RAM ユーザーに AliyunDGFullAccess(Database Gateway (DG) へのフルアクセス)または AliyunCENFullAccess(CEN へのフルアクセス)ポリシーも付与する必要があります。
ステップ 1:カスタムポリシーの作成
-
ポリシーエディターで、ポリシードキュメントを入力します。
-
ポリシーは、特定の構造と構文に基づいて一連の権限を定義するものであり、許可されるリソース、操作、および条件を指定します。詳細については、「ポリシーの構造と構文」をご参照ください。
-
リソースレベルおよび操作レベルで権限を付与できます。
-
以下のコード中の
DTS instance IDは、ビジネス要件に応じて実際の DTS インスタンス ID に置き換える必要があります。 -
読み取り専用権限では、指定された DTS インスタンスのタスク詳細および構成を照会できますが、変更はできません。読み書き権限では、インスタンスの設定および管理が可能です。
重要カスタムポリシーには、DescribeBasicConfigs 操作および DescribeDomainRegions 操作に対する権限が含まれていることを確認してください。
カスタムポリシーのサンプル:
例 1
{ "Statement": [ { "Effect": "Allow", "Action": "dts:Describe*", "Resource": "acs:dts:*:*:instance/DTS-instance-ID" } ], "Version": "1" }例 2
{ "Statement": [ { "Effect": "Allow", "Action": "dts:*", "Resource": [ "acs:dts:*:*:instance/DTS-instance-ID", "acs:dts:*:*:instance/DTS-instance-ID" ] } ], "Version": "1" }例 3
{ "Statement": [ { "Effect": "Allow", "Action": [ "dts:DescribeSynchronizationJobStatus", "dts:DescribeSynchronizationJobs" ], "Resource": "acs:dts:*:*:instance/DTS-instance-ID" } ], "Version": "1" }例 4
{ "Statement": [ { "Effect": "Allow", "Action": [ "dts:DescribeSubscriptionInstances", "dts:StartSynchronizationJob", "dts:SuspendSynchronizationJob" ], "Resource": [ "acs:dts:*:*:instance/DTS-instance-ID", "acs:dts:*:*:instance/DTS-instance-ID", "acs:dts:*:*:instance/DTS-instance-ID" ] } ], "Version": "1" }-
例 1:単一インスタンスに対する読み取り専用権限
-
例 2:複数インスタンスに対する読み書き権限
-
例 3:単一のデータ同期タスクの構成を表示する権限
-
例 4:複数のデータ同期タスクを開始または一時停止する権限
-
-
OK をクリックします。
ステップ 2:カスタムポリシーの付与
-
オプション: RAM ユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
-
左側のナビゲーションウィンドウで、 を選択します。
-
[User Logon Name/Display Name] 列で、対象の RAM ユーザーを見つけます。
-
ユーザーの 操作 列で、[Add Permissions] をクリックします。
-
[Add Permissions] パネルで、リソーススコープを選択します。アカウントレベル:権限は Alibaba Cloud アカウント全体に適用されます。リソースグループレベル:権限は指定されたリソースグループ内のみに適用されます。重要:リソースグループ単位で権限を付与するには、クラウドサービスおよびリソースタイプの両方がリソースグループをサポートしている必要があります。詳細については、「リソースグループをサポートするクラウドサービス」をご参照ください。例については、「リソースグループを使用して RAM ユーザーが特定の ECS インスタンスのみを管理できるように制限する」をご参照ください。
-
[Policy] ドロップダウンリストから、[Custom Policy] を選択します。
-
検索ボックスに、ステップ 1 で作成したカスタムポリシーの名前を入力します。
-
[Selected Policy] セクションに追加するには、カスタムポリシーをクリックします。
-
- [OK] をクリックします。
-
閉じる をクリックします。
操作レベルの権限付与の適用シナリオ
-
次の表に示す
DescribeDTSIP、DescribeSubscriptionInstances、およびDescribeSynchronizationJobs権限は、インスタンスリストを取得するために使用されます。RAM ユーザーは関連操作を実行する前にこのリストを取得する必要があります。これは、RAM ユーザーがインスタンスの一部に対してのみ権限を持っている可能性があるためです。 -
RAM ユーザーにデータ移行、データ同期、または変更追跡タスクを設定する権限を付与するには、カスタムポリシーを作成して RAM ユーザーにアタッチする必要があります。詳細については、「DTS によるクラウドリソースへのアクセス許可」をご参照ください。
-
API オペレーション(新バージョン)
機能
コンソール操作
ポリシー
インスタンスの購入
DTS インスタンスの購入
CreateDtsInstance
データ移行または同期
データ移行または同期タスクの設定
ConfigureDtsJob
変更追跡
変更追跡タスクの設定
ConfigureSubscription
タスクの開始
DTS タスクの開始
StartDtsJob
タスクの一括開始
DTS タスクの一括開始
StartDtsJobs
使用者グループ管理
変更追跡タスクの使用者グループの作成
CreateConsumerChannel
変更追跡タスクの使用者グループ詳細の照会
DescribeConsumerChannel
変更追跡タスクの使用者グループの変更
ModifyConsumerChannel
変更追跡タスクの使用者グループの削除
DeleteConsumerChannel
タスクの照会
DTS タスクの詳細の照会
DescribeDtsJobDetail
DTS タスクとその実行詳細の照会
DescribeDtsJobs
DTS タスクの変更
DTS データ同期タスクの変更
ModifyDtsJob
DTS 変更追跡タスクの変更
ModifySubscription
DTS タスクの名前変更
ModifyDtsJobName
タスクのリセット
DTS タスクのリセット
ResetDtsJob
タスクの一時停止
DTS タスクの一時停止
SuspendDtsJob
タスクの一括一時停止
DTS タスクの一括一時停止
SuspendDtsJobs
タスクの停止
DTS タスクの停止
StopDtsJob
タスクの一括停止
DTS タスクの一括停止
StopDtsJobs
インスタンスのリリース
DTS インスタンスのリリース
DeleteDtsJob
インスタンスの一括リリース
DTS インスタンスの一括リリース
DeleteDtsJobs
タスクアラート
タスクのアラートルールの作成または変更
CreateJobMonitorRule
DTS タスクのアラートルールの照会
DescribeJobMonitorRule
ETL タスクの照会
ETL タスク詳細の照会
DescribeDtsEtlJobVersionInfo
ETL タスブログの照会
DescribeEtlJobLogs
-
API オペレーション(レガシバージョン)
機能
コンソール操作
ポリシー
データ移行
移行タスクの作成
CreateMigrationJob
移行タスクの表示
DescribeMigrationJobs
移行タスク詳細の表示
DescribeMigrationJobs
DescribeMigrationJobDetail
DescribeMigrationJobStatus
移行タスクの名前変更
DescribeMigrationJobs
ModifyMigrationObject
移行タスクの設定
DescribeMigrationJobs
DescribeMigrationJobDetail
DescribeMigrationJobStatus
CreateMigrationJob
事前チェック詳細の表示
DescribeMigrationJobs
DescribeMigrationJobStatus
類似タスクの作成
DescribeMigrationJobs
DescribeMigrationJobDetail
DescribeMigrationJobStatus
CreateMigrationJob
モニタリングとアラート
DescribeMigrationJobs
DescribeMigrationJobAlert
ConfigureMigrationJobAlert
パスワードの変更
DescribeMigrationJobs
DescribeMigrationJobDetail
ModifyMigrationObject
移行タスクの開始
DescribeMigrationJobs
StartMigrationJob
DescribeMigrationJobDetail
移行タスクの一時停止
DescribeMigrationJobs
SuspendMigrationJob
スキーマ移行詳細の表示
DescribeMigrationJobs
DescribeMigrationJobStatus
完全なデータ移行詳細の表示
DescribeMigrationJobs
DescribeMigrationJobStatus
増分データ移行詳細の表示
DescribeMigrationJobs
DescribeMigrationJobStatus
完全または増分移行のパフォーマンスの表示
DescribeMigrationJobs
DescribeMigrationJobDetail
タスブログの表示
DescribeMigrationJobs
DescribeMigrationJobDetail
変更追跡
変更追跡タスクの作成
CreateSubscriptionInstance
変更追跡タスクの表示
DescribeSubscriptionInstances
変更追跡タスク詳細の表示
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
変更追跡タスクの名前変更
DescribeSubscriptionInstances
ModifySubscriptionObject
追跡対象オブジェクトの変更
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
ModifySubscriptionObject
使用者グループの作成
DescribeSubscriptionInstances
CreateConsumerGroup
使用者グループの表示
DescribeSubscriptionInstances
DescribeConsumerGroup
使用者グループパスワードの変更
DescribeSubscriptionInstances
ModifyConsumerGroupPassword
使用者グループの削除
DescribeSubscriptionInstances
DeleteConsumerGroup
インスタンスパスワードの変更
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
ModifySubscriptionObject
変更追跡タスクのリリース
DescribeSubscriptionInstances
DeleteSubscriptionInstance
モニタリングとアラート
DescribeSubscriptionInstances
DescribeSubscriptionInstanceAlert
ConfigureSubscriptionInstanceAlert
変更追跡タスクの設定
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
ModifySubscriptionObject
タスブログの表示
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
データ同期
データ同期タスクの作成
CreateSynchronizationJob
データ同期タスクの表示
DescribeSynchronizationJobs
データ同期タスク詳細の表示
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
データ同期タスクの名前変更
DescribeSynchronizationJobs
ModifySynchronizationObject
データ同期タスク構成の表示
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
同期済みオブジェクトの表示
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
スキーマおよび完全データ初期化ステータスの表示
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
完全または増分データ同期パフォーマンスの表示
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
同期済みオブジェクトの変更履歴の表示
DescribeSynchronizationJobs
タスブログの表示
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
データ同期タスクの設定
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
ModifySynchronizationObject
同期タスクの開始
DescribeSynchronizationJobs
StartSynchronizationJob
同期タスクの一時停止
DescribeSynchronizationJobs
SuspendSynchronizationJob
同期済みオブジェクトの変更
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
ModifySynchronizationObject
同期タスクのリリース
DescribeSynchronizationJobs
DeleteSynchronizationJob
同期タスクの停止
DescribeSynchronizationJobs
DeleteSynchronizationJob
モニタリングとアラート
DescribeSynchronizationJobs
DescribeSynchronizationJobAlert
ConfigureSynchronizationJobAlert
インスタンスパスワードの変更
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
ModifySubscriptionObject
ネットワーク設定
DTS サーバーの CIDR ブロックの照会
DescribeDTSIP
関連操作
よくある質問
Q:RAM ユーザーとして DTS コンソールにログインすると、エラーメッセージが表示され、インスタンスリストが空になります。なぜですか?
A:RAM ユーザーが特定のインスタンスに対してのみ権限を持っている、または一切の権限を持っていない場合に、DTS コンソールにインスタンスリストが表示されません。特定のインスタンスを管理するには、RAM 管理者からそのインスタンス ID を取得し、DTS コンソールで検索してください。