すべてのプロダクト
Search
ドキュメントセンター

Data Transmission Service:DTS のカスタム権限ポリシー

最終更新日:Apr 27, 2026

Resource Access Management (RAM) のシステムポリシーが要件を満たさない場合は、インスタンスレベルまたは操作レベルでの詳細な権限制御を実現するために、カスタムポリシーを作成します。

前提条件

RAM ユーザーに、ご利用の Alibaba Cloud アカウントに属する ApsaraDB for RDS や ECS インスタンスなどのクラウドリソースへのアクセス権限を付与する必要があります。これにより、DTS タスクを設定する際に、関連するクラウドリソースに関する情報を DTS が取得できるようになります。詳細については、「DTS によるクラウドリソースへのアクセス許可」をご参照ください。

背景情報

ポリシーは、特定の構造と構文で記述された権限のセットです。リソースセット、操作セット、および条件を定義します。詳細については、「ポリシーの構造と構文」をご参照ください。

制限事項

  • 送信先が MaxCompute プロジェクトであるデータ同期タスクは、RAM ユーザーを使用して設定できません。この種類のタスクは、Alibaba Cloud アカウントを使用して設定する必要があります。

  • RAM ユーザーとして DTS タスクを設定する際、データベースに Database Gateway (DG) または Cloud Enterprise Network (CEN) 経由でアクセスする場合は、RAM ユーザーに AliyunDGFullAccess(Database Gateway (DG) へのフルアクセス)または AliyunCENFullAccess(CEN へのフルアクセス)ポリシーも付与する必要があります。

ステップ 1:カスタムポリシーの作成

  1. ポリシーエディターで、ポリシードキュメントを入力します。

    • ポリシーは、特定の構造と構文に基づいて一連の権限を定義するものであり、許可されるリソース、操作、および条件を指定します。詳細については、「ポリシーの構造と構文」をご参照ください。

    • リソースレベルおよび操作レベルで権限を付与できます。

    • 以下のコード中の DTS instance ID は、ビジネス要件に応じて実際の DTS インスタンス ID に置き換える必要があります。

    • 読み取り専用権限では、指定された DTS インスタンスのタスク詳細および構成を照会できますが、変更はできません。読み書き権限では、インスタンスの設定および管理が可能です。

    重要

    カスタムポリシーには、DescribeBasicConfigs 操作および DescribeDomainRegions 操作に対する権限が含まれていることを確認してください。

    カスタムポリシーのサンプル:

    例 1

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "dts:Describe*",
                "Resource": "acs:dts:*:*:instance/DTS-instance-ID"
            }
        ],
        "Version": "1"
    }

    例 2

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "dts:*",
                "Resource": [
                    "acs:dts:*:*:instance/DTS-instance-ID",
                    "acs:dts:*:*:instance/DTS-instance-ID"
                ]
            }
        ],
        "Version": "1"
    }

    例 3

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "dts:DescribeSynchronizationJobStatus",
                    "dts:DescribeSynchronizationJobs"
                ],
                "Resource": "acs:dts:*:*:instance/DTS-instance-ID"
            }
        ],
        "Version": "1"
    }

    例 4

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "dts:DescribeSubscriptionInstances",
                    "dts:StartSynchronizationJob",
                    "dts:SuspendSynchronizationJob"
                ],
                "Resource": [
                    "acs:dts:*:*:instance/DTS-instance-ID",
                    "acs:dts:*:*:instance/DTS-instance-ID",
                    "acs:dts:*:*:instance/DTS-instance-ID"
     	    ]
            }
        ],
        "Version": "1"
    }
    • 例 1:単一インスタンスに対する読み取り専用権限

    • 例 2:複数インスタンスに対する読み書き権限

    • 例 3:単一のデータ同期タスクの構成を表示する権限

    • 例 4:複数のデータ同期タスクを開始または一時停止する権限

  2. OK をクリックします。

ステップ 2:カスタムポリシーの付与

  1. オプション: RAM ユーザーを作成します。

    詳細については、「RAM ユーザーの作成」をご参照ください。

  2. 左側のナビゲーションウィンドウで、[Identities] > [Users] を選択します。

  3. [User Logon Name/Display Name] 列で、対象の RAM ユーザーを見つけます。

  4. ユーザーの 操作 列で、[Add Permissions] をクリックします。

  5. [Add Permissions] パネルで、リソーススコープを選択します。アカウントレベル:権限は Alibaba Cloud アカウント全体に適用されます。リソースグループレベル:権限は指定されたリソースグループ内のみに適用されます。重要:リソースグループ単位で権限を付与するには、クラウドサービスおよびリソースタイプの両方がリソースグループをサポートしている必要があります。詳細については、「リソースグループをサポートするクラウドサービス」をご参照ください。例については、「リソースグループを使用して RAM ユーザーが特定の ECS インスタンスのみを管理できるように制限する」をご参照ください。

    1. [Policy] ドロップダウンリストから、[Custom Policy] を選択します。

    2. 検索ボックスに、ステップ 1 で作成したカスタムポリシーの名前を入力します。

    3. [Selected Policy] セクションに追加するには、カスタムポリシーをクリックします。

  6. [OK] をクリックします。
  7. 閉じる をクリックします。

操作レベルの権限付与の適用シナリオ

説明
  • 次の表に示す DescribeDTSIP DescribeSubscriptionInstances、および DescribeSynchronizationJobs 権限は、インスタンスリストを取得するために使用されます。RAM ユーザーは関連操作を実行する前にこのリストを取得する必要があります。これは、RAM ユーザーがインスタンスの一部に対してのみ権限を持っている可能性があるためです。

  • RAM ユーザーにデータ移行、データ同期、または変更追跡タスクを設定する権限を付与するには、カスタムポリシーを作成して RAM ユーザーにアタッチする必要があります。詳細については、「DTS によるクラウドリソースへのアクセス許可」をご参照ください。

  • API オペレーション(新バージョン)

    機能

    コンソール操作

    ポリシー

    インスタンスの購入

    DTS インスタンスの購入

    CreateDtsInstance

    データ移行または同期

    データ移行または同期タスクの設定

    ConfigureDtsJob

    変更追跡

    変更追跡タスクの設定

    ConfigureSubscription

    タスクの開始

    DTS タスクの開始

    StartDtsJob

    タスクの一括開始

    DTS タスクの一括開始

    StartDtsJobs

    使用者グループ管理

    変更追跡タスクの使用者グループの作成

    CreateConsumerChannel

    変更追跡タスクの使用者グループ詳細の照会

    DescribeConsumerChannel

    変更追跡タスクの使用者グループの変更

    ModifyConsumerChannel

    変更追跡タスクの使用者グループの削除

    DeleteConsumerChannel

    タスクの照会

    DTS タスクの詳細の照会

    DescribeDtsJobDetail

    DTS タスクとその実行詳細の照会

    DescribeDtsJobs

    DTS タスクの変更

    DTS データ同期タスクの変更

    ModifyDtsJob

    DTS 変更追跡タスクの変更

    ModifySubscription

    DTS タスクの名前変更

    ModifyDtsJobName

    タスクのリセット

    DTS タスクのリセット

    ResetDtsJob

    タスクの一時停止

    DTS タスクの一時停止

    SuspendDtsJob

    タスクの一括一時停止

    DTS タスクの一括一時停止

    SuspendDtsJobs

    タスクの停止

    DTS タスクの停止

    StopDtsJob

    タスクの一括停止

    DTS タスクの一括停止

    StopDtsJobs

    インスタンスのリリース

    DTS インスタンスのリリース

    DeleteDtsJob

    インスタンスの一括リリース

    DTS インスタンスの一括リリース

    DeleteDtsJobs

    タスクアラート

    タスクのアラートルールの作成または変更

    CreateJobMonitorRule

    DTS タスクのアラートルールの照会

    DescribeJobMonitorRule

    ETL タスクの照会

    ETL タスク詳細の照会

    DescribeDtsEtlJobVersionInfo

    ETL タスブログの照会

    DescribeEtlJobLogs

  • API オペレーション(レガシバージョン)

    機能

    コンソール操作

    ポリシー

    データ移行

    移行タスクの作成

    CreateMigrationJob

    移行タスクの表示

    DescribeMigrationJobs

    移行タスク詳細の表示

    DescribeMigrationJobs

    DescribeMigrationJobDetail

    DescribeMigrationJobStatus

    移行タスクの名前変更

    DescribeMigrationJobs

    ModifyMigrationObject

    移行タスクの設定

    DescribeMigrationJobs

    DescribeMigrationJobDetail

    DescribeMigrationJobStatus

    CreateMigrationJob

    事前チェック詳細の表示

    DescribeMigrationJobs

    DescribeMigrationJobStatus

    類似タスクの作成

    DescribeMigrationJobs

    DescribeMigrationJobDetail

    DescribeMigrationJobStatus

    CreateMigrationJob

    モニタリングとアラート

    DescribeMigrationJobs

    DescribeMigrationJobAlert

    ConfigureMigrationJobAlert

    パスワードの変更

    DescribeMigrationJobs

    DescribeMigrationJobDetail

    ModifyMigrationObject

    移行タスクの開始

    DescribeMigrationJobs

    StartMigrationJob

    DescribeMigrationJobDetail

    移行タスクの一時停止

    DescribeMigrationJobs

    SuspendMigrationJob

    スキーマ移行詳細の表示

    DescribeMigrationJobs

    DescribeMigrationJobStatus

    完全なデータ移行詳細の表示

    DescribeMigrationJobs

    DescribeMigrationJobStatus

    増分データ移行詳細の表示

    DescribeMigrationJobs

    DescribeMigrationJobStatus

    完全または増分移行のパフォーマンスの表示

    DescribeMigrationJobs

    DescribeMigrationJobDetail

    タスブログの表示

    DescribeMigrationJobs

    DescribeMigrationJobDetail

    変更追跡

    変更追跡タスクの作成

    CreateSubscriptionInstance

    変更追跡タスクの表示

    DescribeSubscriptionInstances

    変更追跡タスク詳細の表示

    DescribeSubscriptionInstances

    DescribeSubscriptionInstanceStatus

    変更追跡タスクの名前変更

    DescribeSubscriptionInstances

    ModifySubscriptionObject

    追跡対象オブジェクトの変更

    DescribeSubscriptionInstances

    DescribeSubscriptionInstanceStatus

    ModifySubscriptionObject

    使用者グループの作成

    DescribeSubscriptionInstances

    CreateConsumerGroup

    使用者グループの表示

    DescribeSubscriptionInstances

    DescribeConsumerGroup

    使用者グループパスワードの変更

    DescribeSubscriptionInstances

    ModifyConsumerGroupPassword

    使用者グループの削除

    DescribeSubscriptionInstances

    DeleteConsumerGroup

    インスタンスパスワードの変更

    DescribeSubscriptionInstances

    DescribeSubscriptionInstanceStatus

    ModifySubscriptionObject

    変更追跡タスクのリリース

    DescribeSubscriptionInstances

    DeleteSubscriptionInstance

    モニタリングとアラート

    DescribeSubscriptionInstances

    DescribeSubscriptionInstanceAlert

    ConfigureSubscriptionInstanceAlert

    変更追跡タスクの設定

    DescribeSubscriptionInstances

    DescribeSubscriptionInstanceStatus

    ModifySubscriptionObject

    タスブログの表示

    DescribeSubscriptionInstances

    DescribeSubscriptionInstanceStatus

    データ同期

    データ同期タスクの作成

    CreateSynchronizationJob

    データ同期タスクの表示

    DescribeSynchronizationJobs

    データ同期タスク詳細の表示

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    データ同期タスクの名前変更

    DescribeSynchronizationJobs

    ModifySynchronizationObject

    データ同期タスク構成の表示

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    同期済みオブジェクトの表示

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    スキーマおよび完全データ初期化ステータスの表示

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    完全または増分データ同期パフォーマンスの表示

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    同期済みオブジェクトの変更履歴の表示

    DescribeSynchronizationJobs

    タスブログの表示

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    データ同期タスクの設定

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    ModifySynchronizationObject

    同期タスクの開始

    DescribeSynchronizationJobs

    StartSynchronizationJob

    同期タスクの一時停止

    DescribeSynchronizationJobs

    SuspendSynchronizationJob

    同期済みオブジェクトの変更

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    ModifySynchronizationObject

    同期タスクのリリース

    DescribeSynchronizationJobs

    DeleteSynchronizationJob

    同期タスクの停止

    DescribeSynchronizationJobs

    DeleteSynchronizationJob

    モニタリングとアラート

    DescribeSynchronizationJobs

    DescribeSynchronizationJobAlert

    ConfigureSynchronizationJobAlert

    インスタンスパスワードの変更

    DescribeSynchronizationJobs

    DescribeSynchronizationJobStatus

    ModifySubscriptionObject

    ネットワーク設定

    DTS サーバーの CIDR ブロックの照会

    DescribeDTSIP

関連操作

RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする

よくある質問

Q:RAM ユーザーとして DTS コンソールにログインすると、エラーメッセージが表示され、インスタンスリストが空になります。なぜですか?

A:RAM ユーザーが特定のインスタンスに対してのみ権限を持っている、または一切の権限を持っていない場合に、DTS コンソールにインスタンスリストが表示されません。特定のインスタンスを管理するには、RAM 管理者からそのインスタンス ID を取得し、DTS コンソールで検索してください。