Data Transmission Service (DTS) の管理権限を Resource Access Management (RAM) ユーザーに付与することで、最小権限の原則(PoLP)を適用し、Alibaba Cloud アカウントのセキュリティを強化します。
前提条件
開始する前に、以下の点を確認してください。
RAM ユーザーが、DTS タスクで使用している現在の Alibaba Cloud アカウントのクラウドリソース(例:ApsaraDB for RDS インスタンス、Elastic Compute Service (ECS) インスタンスなど)にアクセスできるよう権限付与済みである必要があります。これにより、RAM ユーザーとして DTS タスクを構成する際に、DTS が関連するクラウドリソース情報を取得できます。詳細については、「DTS による Alibaba Cloud リソースへのアクセス権限の付与」をご参照ください。
制約事項
RAM ユーザーとして DTS タスクを構成する前に、以下の制約事項を確認してください。
API レベルの権限: DTS では、RAM ユーザーに対する API レベルの権限付与はサポートされていません。利用可能なのは、以下に示すシステムポリシーのみです。
MaxCompute: MaxCompute プロジェクトへのデータ同期を行う場合、データ同期タスクの構成には Alibaba Cloud アカウントを使用してください。RAM ユーザーではこのタイプのタスクを構成できません。
データベースゲートウェイ: RAM ユーザーがデータベースゲートウェイ経由でデータベースに接続する場合は、RAM ユーザーに AliyunDGFullAccess ポリシーを付与してください。
Cloud Enterprise Network (CEN): RAM ユーザーが CEN 経由でデータベースに接続する場合は、RAM ユーザーに AliyunCENFullAccess ポリシーを付与してください。
システムポリシー
DTS では、RAM ユーザーの権限付与に使用可能なシステムポリシーが 2 つ提供されています。
| ポリシー | アクセスレベル | RAM ユーザーが実行可能な操作 |
|---|---|---|
| AliyunDTSFullAccess | 読み取り/書き込み | DTS インスタンスの購入、構成、および管理 |
| AliyunDTSReadOnlyAccess | 読み取り専用 | Alibaba Cloud アカウントが所有するすべての DTS タスクの詳細および構成を表示できます。ただし、DTS インスタンスの購入、構成、または管理はできません。 |
RAM ユーザーへのシステムポリシーの付与手順
Alibaba Cloud アカウントを使用して、RAM コンソール にログインします。
まだ RAM ユーザーを作成していない場合は、「RAM ユーザーの作成」をご参照のうえ、RAM ユーザーを作成してください。
左側ナビゲーションウィンドウで、ID > ユーザー を選択します。
ユーザー ページで、対象の RAM ユーザーを検索し、操作 列の 権限の追加 をクリックします。
権限の追加 パネルで、以下の設定を行います。
権限付与範囲を選択します。
Alibaba Cloud アカウント: ポリシーが現在の Alibaba Cloud アカウント全体に適用されます。
特定のリソースグループ: ポリシーは特定のリソースグループ内で有効になります。このオプションを選択する前に、クラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループスコープの権限付与の例については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
プリンシパルを確認します。プリンシパルは、前述で選択した RAM ユーザーです。
ポリシーの選択 パラメーターを システムポリシー に設定します。
検索ボックスに
dtsと入力し、DTS 関連のポリシーをフィルター表示します。追加するポリシーを選択します。選択したポリシーは、選択済み セクションに表示されます。どのポリシーを選択すべきかについては、「システムポリシー」セクションをご参照ください。
OK をクリックします。
完了 をクリックします。