カスタムポリシーを使用してRAMユーザーにDTSインスタンスの管理を許可する - Data Transmission Service

カスタムポリシーは、システムポリシーよりも詳細な権限制御を提供します。カスタムポリシーを使用して、特定のインスタンスまたはアクションに対する権限を制御できます。このトピックでは、カスタムポリシーを使用してData Transmission Service (DTS) インスタンスを管理する方法について説明します。

前提条件

RAMユーザーは、現在のAlibaba cloudアカウントのApsaraDB for RDSインスタンスやElastic Compute Service (ECS) インスタンスなどのクラウドリソースへのアクセスを許可されています。 DTSタスクをRAMユーザーとして設定すると、DTSは関連するクラウドリソース情報にアクセスできます。詳細については、「DTSによるAlibaba Cloudリソースへのアクセス許可」をご参照ください。

背景情報

ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。ポリシーは、許可されたリソースセット、許可されたアクションセット、および許可条件を記述します。詳細については、次をご参照ください：ポリシー構造と構文。

使用上の注意

MaxComputeプロジェクトにデータを同期する場合、データ同期タスクをRAMユーザーとして設定することはできません。タスクを設定するには、Alibaba Cloudアカウントを使用する必要があります。
DTSタスクをRAMユーザーとして構成し、データベースがdatabase Gateway経由で接続されている場合は、RAMユーザーにAliyunDGFullAccess権限を付与する必要があります。 DTSタスクをRAMユーザーとして設定し、データベースがCloud Enterprise Network (CEN) 経由で接続されている場合は、RAMユーザーにAliyunCENFullAccess権限を付与する必要があります。

ステップ1: カスタムポリシーの作成

にログインします。RAMコンソール管理者権限を持つRAMユーザーとして
左側のナビゲーションウィンドウで、権限 > ポリシー.
On theポリシーページをクリックします。ポリシーの作成.
On theポリシーの作成ページをクリックし、JSONタブをクリックします。
[JSON] タブで、コードエディターにカスタムポリシーの内容を入力します。
- ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。ポリシーには、ユーザーが管理を許可されているリソース、ユーザーが実行を許可されている操作、および許可条件が記述されます。詳細については、「ポリシーの構造と構文」をご参照ください。
- 特定のリソースとアクションに対する権限を付与できます。
- 次のコードのDTSインスタンスIDフィールドをDTSインスタンスの実際のIDに置き換える必要があります。
- DTSインスタンスの読み取り専用権限がRAM (Resource Access Management) ユーザーに付与されている場合、RAMユーザーはタスクの詳細と設定を照会できますが、設定を変更することはできません。 DTSインスタンスの読み取りおよび書き込み権限がRAMユーザーに付与されている場合、RAMユーザーはDTSインスタンスを設定および管理できます。
重要
カスタムポリシーに、DescribeBasicConfigsおよびDescribeDomainRegions操作を呼び出す権限が含まれていることを確認します。
サンプルカスタムポリシー:
例 1
```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dts:Describe *" 、
            "Resource": "acs:dts:*:*:instance/DTSインスタンスID"
        }
    ],
    "バージョン": "1"
} 
```
例 2
```
{
    "Statement": [
        {
            "Effect": "Allow",
            "アクション": "dts:*" 、
            "Resource": [
                "acs:dts:*:*:instance/DTSインスタンスID" 、
                "acs:dts:*:*:instance/DTSインスタンスID"
            ]
        }
    ],
    "バージョン": "1"
} 
```
例 3
```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dts:DescribeSynchronizationJobStatus",
                "dts:DescribeSynchronizationJobs"
            ],
            "Resource": "acs:dts:*:*:instance/DTSインスタンスID"
        }
    ],
    "バージョン": "1"
} 
```
例 4
```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dts:DescribeSubscriptionInstances" 、
                "dts:StartSynchronizationJob",
                "dts:SuspendSynchronizationJob"
            ],
            "Resource": [
                "acs:dts:*:*:instance/DTSインスタンスID" 、
                "acs:dts:*:*:instance/DTSインスタンスID" 、
                "acs:dts:*:*:instance/DTSインスタンスID"
 	    ]
        }
    ],
    "バージョン": "1"
} 
```
- 例1: 単一のDTSインスタンスに対する読み取り専用権限
- 例2: 複数のDTSインスタンスに対する読み取りおよび書き込み権限
- 例3: データ同期タスクの設定を表示する権限
- 例4: 複数のデータ同期タスクを開始または一時停止する権限
[次へ] をクリックしてポリシー情報を編集します。
を指定します。Specify the名前と説明フィールドを使用します。
カスタムポリシーの内容を確認して最適化します。
- 基本的な最適化
  システムは自動的にポリシーステートメントを最適化します。基本的な最適化中に、システムによって次の操作が実行されます。
  - 不要な条件が削除されます。
  - 不要な配列が削除されます。
- (オプション) 高度な最適化
  ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。システムは、高度な最適化中に次の操作を実行します。
  - 操作と互換性のないリソースまたは条件が分割されます。
  - リソースが絞り込まれます。
  - ポリシーステートメントの重複排除またはマージが行われます。
クリックOK.

手順2: カスタムポリシーをRAMユーザーにアタッチする

にログインします。RAMコンソール管理者権限を持つRAMユーザーとして
RAMユーザーの作成.
左側のナビゲーションウィンドウで、アイデンティティ > ユーザー.
[ユーザー] ページで、権限を付与するRAMユーザーを検索します。ユーザーログイン名 /表示名列を作成します。
クリック権限の追加で、アクション列を作成します。
では、権限付与パネルで、RAMユーザーに権限を付与します。
1. [リソーススコープ] パラメーターを設定します。
  - アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
  - ResourceGroup: 特定のリソースグループに対して権限付与が有効になります。
    重要
    [リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
2. [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択します。
3. 検索ボックスに、ステップ1で作成したカスタムポリシーの名前を入力します。
4. カスタムポリシーの名前をクリックして、ポリシーを選択したポリシーセクションにアクセスします。
[権限付与] をクリックします。
ユーザーに権限が付与されたら、[閉じる] をクリックします。

アクションレベルの権限付与のシナリオ

説明

DescribeDTSIP、DescribeSubscriptionInstances、およびDescribeSynchronizationJobs権限を使用すると、RAMユーザーは使用可能なDTSインスタンスを照会できます。 RAMユーザーが特定のインスタンスに対してのみ権限を持つ場合、ユーザーは関連する操作を実行する前に、使用可能なDTSインスタンスを照会する必要があります。
RAMユーザーにデータ移行、データ同期、または変更追跡タスクの設定を許可するには、カスタムポリシーを作成し、そのポリシーをRAMユーザーにアタッチする必要があります。詳細については、「DTSによるAlibaba Cloudリソースへのアクセス許可」をご参照ください。

API操作 (新バージョン)

機能	DTSコンソールでの操作	ポリシー
インスタンスの購入	DTSインスタンスの購入	CreateDtsInstance
データの移行または同期	データ移行または同期タスクの設定	ConfigureDtsJob
データの変更を追跡する	変更追跡タスクの設定	ConfigureSubscription
タスクの開始	DTSタスクの開始	StartDtsJob
一度に複数のタスクを開始する	一度に複数のDTSタスクを開始する	StartDtsJobs
コンシューマーグループの管理	変更追跡タスクのコンシューマーグループを作成する	CreateConsumerChannel
	変更追跡タスクのコンシューマーグループを照会する	DescribeConsumerChannel
	変更追跡タスクのコンシューマーグループの変更	ModifyConsumerChannel
	変更追跡タスクのコンシューマグループを削除する	DeleteConsumerChannel
クエリタスク	DTSタスクの詳細の照会	DescribeDtsJobDetail
クエリタスク	DTSタスクと各タスクの詳細の照会	DescribeDtsJobs
DTSタスクの設定の変更	データ同期タスクの設定の変更	ModifyDtsJob
	変更追跡タスクの設定の変更	ModifySubscription
	DTSタスクの名前変更	ModifyDtsJobName
タスクのリセット	DTSタスクのリセット	ResetDtsJob
タスクを一時停止する	DTSタスクの一時停止	SuspendDtsJob
一度に複数のタスクを一時停止する	一度に複数のDTSタスクを一時停止する	SuspendDtsJobs
タスクの停止	DTSタスクの停止	StopDtsJob
一度に複数のタスクを停止する	一度に複数のDTSタスクを停止する	StopDtsJobs
インスタンスのリリース	DTSインスタンスのリリース	DeleteDtsJob
一度に複数のインスタンスをリリースする	一度に複数のDTSインスタンスをリリースする	DeleteDtsJobs
タスクのアラートの設定	DTSタスクのアラートルールを作成するか、DTSタスクのアラートルールを変更する	CreateJobMonitorRule
タスクのアラートの設定	DTSタスクのアラートルールの照会	DescribeJobMonitorRule
抽出、変換、および読み込み (ETL) タスクの照会	ETLタスクの詳細の照会	DescribeDtsEtlJobVersionInfo
抽出、変換、および読み込み (ETL) タスクの照会	ETLタスクのログの照会	DescribeEtlJobLogs

API操作 (旧バージョン)

機能	DTSコンソールでの操作	ポリシー
データ移行タスクの管理	データ移行タスクの作成	CreateMigrationJob
	データ移行タスクの照会	DescribeMigrationJobs
	データ移行タスクの詳細を表示する	DescribeMigrationJobs DescribeMigrationJobDetail DescribeMigrationJobStatus
	データ移行タスクの名前を変更する	DescribeMigrationJobs ModifyMigrationObject
	データ移行タスクの設定	DescribeMigrationJobs DescribeMigrationJobDetail DescribeMigrationJobStatus CreateMigrationJob
	事前チェックの詳細を表示	DescribeMigrationJobs DescribeMigrationJobStatus
	同様のデータ移行タスクを作成する	DescribeMigrationJobs DescribeMigrationJobDetail DescribeMigrationJobStatus CreateMigrationJob
	データ移行タスクを監視し、データ移行タスクのアラートルールを設定する	DescribeMigrationJobs DescribeMigrationJobAlert ConfigureMigrationJobAlert
	インスタンスへのログインに使用するパスワードの変更	DescribeMigrationJobs DescribeMigrationJobDetail ModifyMigrationObject
	データ移行タスクの開始	DescribeMigrationJobs StartMigrationJob DescribeMigrationJobDetail
	データ移行タスクの一時停止	DescribeMigrationJobs SuspendMigrationJob
	スキーマ移行タスクの詳細を表示する	DescribeMigrationJobs DescribeMigrationJobStatus
	フルデータ移行タスクの詳細を表示する	DescribeMigrationJobs DescribeMigrationJobStatus
	増分データ移行タスクの詳細を表示する	DescribeMigrationJobs DescribeMigrationJobStatus
	フルデータ移行タスクまたは増分データ移行タスクのパフォーマンスの表示	DescribeMigrationJobs DescribeMigrationJobDetail
	タスクログの表示	DescribeMigrationJobs DescribeMigrationJobDetail
変更追跡タスクの管理	変更追跡タスクを作成するCreate a change tracking task	CreateSubscriptionInstance
	変更追跡タスクの照会	DescribeSubscriptionInstances
	変更追跡タスクの詳細を表示する	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus
	変更追跡タスクの名前を変更する	DescribeSubscriptionInstances ModifySubscriptionObject
	変更追跡用のオブジェクトの変更	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus ModifySubscriptionObject
	コンシューマーグループの作成	DescribeSubscriptionInstances CreateConsumerGroup
	コンシューマグループに関する情報の表示	DescribeSubscriptionInstances DescribeConsumerGroup
	コンシューマーグループのパスワードを変更する	DescribeSubscriptionInstances ModifyConsumerGroupPassword
	コンシューマーグループの削除	DescribeSubscriptionInstances DeleteConsumerGroup
	インスタンスへのログインに使用するパスワードの変更	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus ModifySubscriptionObject
	変更追跡タスクのリリース	DescribeSubscriptionInstances DeleteSubscriptionInstance
	変更追跡タスクを監視し、変更追跡タスクのアラートルールを設定する	DescribeSubscriptionInstances DescribeSubscriptionInstanceAlert ConfigureSubscriptionInstanceAlert
	変更追跡タスクの設定	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus ModifySubscriptionObject
	タスクログの表示	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus
データ同期タスクの管理	データ同期タスクの作成	CreateSynchronizationJob
	データ同期タスクの照会	DescribeSynchronizationJobs
	データ同期タスクの詳細を表示する	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	データ同期タスクの名前変更	DescribeSynchronizationJobs ModifySynchronizationObject
	データ同期タスクの設定の表示	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	同期するオブジェクトの表示	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	スキーマ同期タスクまたは完全データ同期タスクのステータスの表示	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	完全データ同期または増分データ同期のパフォーマンスの表示	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	同期するオブジェクトの変更レコードを表示する	DescribeSynchronizationJobs
	タスクログの表示	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	データ同期タスクの設定	DescribeSynchronizationJobs DescribeSynchronizationJobStatus ModifySynchronizationObject
	データ同期タスクの開始	DescribeSynchronizationJobs StartSynchronizationJob
	データ同期タスクを一時停止する	DescribeSynchronizationJobs SuspendSynchronizationJob
	同期するオブジェクトの変更	DescribeSynchronizationJobs DescribeSynchronizationJobStatus ModifySynchronizationObject
	データ同期タスクのリリース	DescribeSynchronizationJobs DeleteSynchronizationJob
	データ同期タスクの停止	DescribeSynchronizationJobs DeleteSynchronizationJob
	データ同期タスクを監視し、データ同期タスクのアラートルールを設定する	DescribeSynchronizationJobs DescribeSynchronizationJobAlert ConfigureSynchronizationJobAlert
	インスタンスへのログインに使用するパスワードの変更	DescribeSynchronizationJobs DescribeSynchronizationJobStatus ModifySubscriptionObject
ネットワーク設定の管理	DTSサーバーのCIDRブロックの照会	DescribeDTSIP

次のステップ

RAMユーザーを使用してAlibaba Cloud管理コンソールにログインします。

よくある質問

Q: DTSコンソールにRAMユーザーとしてログインすると、インスタンスリストではなくエラーメッセージが表示されるのはなぜですか。 RAM用户登录提示

A: RAMユーザーには権限がないか、一部のインスタンスに対してのみ権限がある場合があります。この場合、DTSコンソールはインスタンスリストを表示しません。 RAM管理者に連絡し、RAMユーザーが管理する権限を持つDTSインスタンスのIDを取得する必要があります。次に、DTSコンソールでIDを使用してDTSインスタンスを検索できます。 RAM登录后搜索实例