すべてのプロダクト
Search
ドキュメントセンター

Elastic Container Instance:RAM ユーザーに権限を付与する

最終更新日:Dec 28, 2024

デフォルトでは、Alibaba Cloud アカウントを使用して Elastic Container Instance リソースを管理できます。ただし、Alibaba Cloud アカウントに対して Resource Access Management (RAM) ユーザーが作成された場合、RAM ユーザーは Alibaba Cloud アカウント内のリソースを管理する権限を持ちません。RAM ユーザーとして Elastic Container Instance リソースを管理するには、RAM ユーザーに必要な権限を付与する必要があります。このトピックでは、Elastic Container Instance リソースに対する権限を RAM ユーザーに付与する方法について説明します。

前提条件

RAM ユーザーが作成されていること。RAM ユーザーの作成方法については、RAM ユーザーの作成を参照してください。

権限の説明

RAM ユーザーに権限ポリシーをアタッチして、特定の権限を付与できます。次の表に、Elastic Container Instance リソースに関連するポリシーを示します。

ポリシー

説明

AliyunECIReadOnlyAccess

Elastic Container Instance リソースに対する読み取り専用権限を付与します。これはデフォルトのシステムポリシーであり、次の権限が含まれています。

  • eci:Describe*: Elastic Container Instance リソースを照会する権限

  • eci:List*: Elastic Container Instance リソースを照会する権限

  • ecs:DescribeSecurityGroups: セキュリティグループを照会する権限

  • vpc:DescribeVSwitches: vSwitch を照会する権限

  • vpc:DescribeVpcs: 仮想プライベートクラウド (VPC) を照会する権限

AliyunECIFullAccess

Elastic Container Instance リソースを管理する権限を付与します。これはデフォルトのシステムポリシーであり、次の権限が含まれています。

  • eci: Elastic Container Instance リソースを管理するためのすべての権限

  • ecs:DescribeSecurityGroups: セキュリティグループを照会する権限

  • vpc:DescribeVSwitches: vSwitch を照会する権限

  • vpc:DescribeVpcs: VPC を照会する権限

  • vpc:DescribeEipAddresses: エラスティック IP アドレス (EIP) を照会する権限

Elastic Container Instance コンソールで操作を実行するためのその他の権限

RAM ユーザーが Elastic Container Instance コンソールで操作を実行できるようにするには、AliyunECIFullAccess ポリシーによって付与されるデフォルトの権限に加えて、RAM に次の権限を付与する必要があります。

  • ram:ListRoles: インスタンスの RAM ロールを照会する権限

  • nas:DescribeFileSystems: ネットワークアタッチトストレージ (NAS) ファイルシステムを照会する権限

  • oss:ListBuckets: オブジェクトストレージサービス (OSS) バケットを照会する権限

  • vpc:DescribeCommonBandwidthPackages: EIP 帯域幅プランを照会する権限

  • cr:GetRepoList: イメージリポジトリを照会する権限

  • cr:GetRepoTags: リポジトリ内のイメージのタグを照会する権限

  • cr:GetImageManifest: イメージのマニフェスト情報を照会する権限

  • cr:SearchRepo: イメージリポジトリを検索する権限

手順

  1. Alibaba Cloud アカウントを使用して、RAM コンソールにログオンします。

  2. Elastic Container Instance コンソールで Elastic Container Instance リソースを管理する権限を RAM ユーザーに付与する場合は、カスタムポリシーを作成します。

    1. 左側のナビゲーションペインで、権限 > ポリシー を選択します。

    2. ポリシーページで、ポリシーの作成をクリックします。

    3. JSON タブをクリックし、次のスクリプトをコードエディターにコピーして、OK をクリックします。

      {
          "Statement": [
              {
                  "Action": "ram:ListRoles",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "nas:DescribeFileSystems",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "oss:ListBuckets",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "vpc:DescribeCommonBandwidthPackages",
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": [
                      "cr:GetRepoList",
                      "cr:GetRepoTags",
                      "cr:GetImageManifest",
                      "cr:SearchRepo"
                  ],
                  "Effect": "Allow",
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    4. 名前フィールドにポリシーの名前を入力し、OK をクリックします。

  3. 必要に応じて、RAM ユーザーに権限を付与します。

    1. 左側のナビゲーションペインで、ID > ユーザー を選択します。

    2. 権限を付与する RAM ユーザーを見つけ、アクション列の 権限の追加 をクリックします。

    3. 表示されるパネルで、パラメーターを設定します。

      次の表に、パラメーターを示します。

      パラメーター

      説明

      リソーススコープ

      承認スコープ。

      • アカウント: 権限は現在の Alibaba Cloud アカウントに適用されます。

      • リソースグループ: 権限は指定されたリソースグループに適用されます。

      プリンシパル

      権限を付与する RAM ユーザー。選択した RAM ユーザーは、プリンシパルフィールドに自動的に入力されます。別の RAM ユーザーを指定することもできます。

      ポリシー

      RAM ユーザーにアタッチするポリシー。ニーズに合ったポリシーを選択します。

      • RAM ユーザーに Elastic Container Instance リソースの表示のみを許可する場合は、AliyunECIReadOnlyAccess システムポリシーを選択します。

      • RAM ユーザーが API 操作を呼び出して Elastic Container Instance リソースを管理できるようにするには、AliyunECIFullAccess システムポリシーを選択します。

      • RAM ユーザーが Elastic Container Instance コンソールを使用して Elastic Container Instance リソースを管理できるようにするには、AliyunECIFullAccess システムポリシーと手順 2 で作成したカスタムポリシーを選択します。

    4. 権限の付与をクリックし、画面の指示に従って後続の操作を完了します。

参照

Elastic Container Instance リソースに対する RAM ユーザーの権限を制御する場合は、リソースグループとラベルを使用して、グループ別および権限別に RAM ユーザーを管理できます。詳細については、以下を参照してください。