Resource Access Management (RAM) ポリシーは、RAM ユーザーが Enterprise Distributed Application Service (EDAS) リソースに対して実行できるアクションを制御します。各ポリシーは、アクションを Alibaba Cloud リソースネーム (ARN) にマッピングし、Allow または Deny のエフェクトを指定します。
このトピックでは、EDAS のすべてのアクション、リソース ARN のフォーマット、および一般的な権限シナリオに対応する JSON ポリシーの例を一覧で示します。
リソース ARN のフォーマット
各 EDAS リソースは、ARN によって識別されます:
acs:edas:<region-id>:<account-id>:<resource-path>以下の表に、すべての EDAS リソースタイプとその ARN パターンを示します。
| リソースタイプ | ARN パターン |
|---|---|
| マイクロサービス名前空間 | acs:edas:$regionid:$accountid:namespace/$namespace |
| クラスター | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
| アプリケーション | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 設定 | acs:acms:$regionid:$accountid:cfg/$namespace/$groupId/$configId |
| システム (グローバル) | acs:edas:$regionid:$accountid:* |
リソース変数
| 変数 | 説明 | 確認方法 |
|---|---|---|
$regionid | リソースがデプロイされているリージョン。例:cn-shanghai。詳細については、「リージョンとゾーン」をご参照ください。 | 該当なし |
$namespace | マイクロサービス名前空間 ID。 | EDAS コンソールで、リソース管理 > マイクロサービス名前空間に移動します。マイクロサービス名前空間ページに ID が表示されます。 |
$clusterId | クラスター ID。例:8c349f69-505c-436f-8dc7-**********。 | EDAS コンソールで、リソース管理 > ECS クラスターに移動します。クラスター ID/名前列のクラスター ID をクリックして、クラスター詳細ページを開きます。 |
$applicationId | アプリケーション ID。例:ec8e38a3-3dca-47a7-b6f9-5**********。 | EDAS コンソールで、アプリケーション管理 > アプリケーションに移動します。アプリケーション名をクリックし、基本情報タブで ID を確認します。 |
ワイルドカード
アスタリスク (*) を特定の ID の代わりに使用して、そのタイプのすべてのリソースに一致させることができます:
namespace/*-- あるリージョン内のすべてのマイクロサービス名前空間namespace/$namespace/cluster/*-- ある名前空間内のすべてのクラスターnamespace/*/application/*-- あるリージョン内のすべての名前空間にまたがるすべてのアプリケーション
アクションリファレンス
以下の表は、各リソースカテゴリのアクション、その依存アクション、およびターゲットリソースの ARN を一覧にしたものです。
マイクロサービス名前空間の管理
| コード | 操作 | アクション | 依存アクション | リソース |
|---|---|---|---|---|
| 1.1 | 名前空間の作成 | edas:CreateNamespace | -- | acs:edas:$regionid:$accountid:namespace/* |
| 1.2 | 名前空間の削除 | edas:DeleteNamespace | edas:ReadNamespace | acs:edas:$regionid:$accountid:namespace/$namespace |
| 1.4 | 名前空間の変更 | edas:ManageNamespace | edas:ReadNamespace | acs:edas:$regionid:$accountid:namespace/$namespace |
| 1.5 | 名前空間の詳細の表示 | edas:ReadNamespace | -- | acs:edas:$regionid:$accountid:namespace/$namespace |
クラスター管理
| コード | 操作 | アクション | 依存アクション | リソース |
|---|---|---|---|---|
| 2.1 | クラスターの作成 | edas:CreateCluster | -- | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/* |
| 2.2 | クラスターの削除 | edas:DeleteCluster | edas:ReadCluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
| 2.3 | クラスター詳細の表示 | edas:ReadCluster | -- | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
| 2.4 | クラスターの管理 | edas:ManageCluster | edas:ReadCluster | acs:edas:$regionid:$accountid:namespace/$namespace/cluster/$clusterId |
アプリケーション管理
| コード | 操作 | アクション | 依存アクション | リソース |
|---|---|---|---|---|
| 3.1 | アプリケーションの作成 | edas:CreateApplication | -- | acs:edas:$regionid:$accountid:namespace/$namespace/application/* |
| 3.2 | アプリケーションの削除 | edas:DeleteApplication | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 3.3 | アプリケーション詳細の表示 | edas:ReadApplication | -- | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 3.4 | アプリケーションの管理 | edas:ManageApplication | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 3.5 | アプリケーションの設定 (ポート、Tomcat コンテキスト、負荷分散、ヘルスチェック、JVM、Intra-zone Provider First) | edas:ConfigApplication | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 3.6 | アプリケーションログの管理 | edas:ManageAppLog | edas:ReadApplication | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
マイクロサービスの管理
| コード | 操作 | アクション | 依存アクション | リソース |
|---|---|---|---|---|
| 4.1 | マイクロサービスの表示 | edas:ReadService | -- | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 4.2 | マイクロサービスのテスト | edas:TestService | -- | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
| 4.3 | マイクロサービスの管理 | edas:ManageService | edas:ReadService | acs:edas:$regionid:$accountid:namespace/$namespace/application/$applicationId |
設定管理
| コード | 操作 | アクション | 依存アクション | リソース |
|---|---|---|---|---|
| 5.1 | 設定の表示 | acms:R | -- | acs:acms:$regionid:$accountid:cfg/$namespace/$groupId/$configId |
| 5.2 | 設定の管理 | acms:* | -- | acs:acms:$regionid:$accountid:cfg/$namespace/$groupId/$configId |
システム管理
| コード | 操作 | アクション | 依存アクション | リソース |
|---|---|---|---|---|
| 6.1 | EDAS システムの管理 | edas:ManageSystem | -- | acs:edas:$regionid:$accountid:* |
| 6.2 | 操作ログの表示 | edas:ReadOperationLog | -- | acs:edas:$regionid:$accountid:* |
| 6.3 | システム O&M 操作の実行 | edas:ManageOperation | -- | acs:edas:$regionid:$accountid:* |
| 6.4 | ECS インスタンスの購入 | edas:ECSPurchase | -- | acs:edas:*:*:* |
| 6.5 | SLB インスタンスの購入 | edas:SLBPurchase | -- | acs:edas:*:*:* |
| 6.6 | Simple Log Service プロジェクトの購入 | edas:SLSPurchase | -- | acs:edas:*:*:* |
商用機能の管理
| コード | 操作 | アクション | 依存アクション | リソース |
|---|---|---|---|---|
| 7 | 商用 EDAS 機能の管理 | edas:ManageCommercialization | -- | acs:edas:$regionid:$accountid:* |
ポリシーの例
すべてのポリシーで "Version": "1" を使用します。変数 ($regionid、$namespace、$clusterId、$applicationId) を実際の値に置き換えてください。変数を * に設定すると、そのタイプのすべてのリソースに一致します。
アプリケーションポリシー
単一アプリケーション
アプリケーションの管理 (作成または削除権限なし)
特定のアプリケーションの表示、設定、ログ管理を許可し、作成と削除は明示的に拒否します。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:*Application"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
},
{
"Action": ["edas:DeleteApplication"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"],
"Effect": "Deny"
},
{
"Action": ["edas:CreateApplication"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/*"],
"Effect": "Deny"
}
]
}アプリケーションの作成
アプリケーションを作成するには、クラスターインスタンスが必要です。ReadCluster と一緒に CreateApplication を含めてください。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:CreateApplication", "edas:ReadCluster"],
"Effect": "Allow",
"Resource": [
"acs:edas:$regionid:*:namespace/$namespace/application/*",
"acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"
]
}
]
}アプリケーションの削除
RAM ユーザーがアプリケーションを削除する前に見つけられるように、ReadApplication を含めてください。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:DeleteApplication", "edas:ReadApplication"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}アプリケーションログの管理
RAM ユーザーがアプリケーションを見つけられるように、ReadApplication を含めてください。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadApplication", "edas:ManageAppLog"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}アプリケーションの設定
アプリケーションのポート、Tomcat コンテキスト、負荷分散、ヘルスチェック、JVM パラメーター、および Intra-zone Provider First を対象とします。
RAM ユーザーがアプリケーション設定にアクセスできるように、ReadApplication を含めてください。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadApplication", "edas:ConfigApplication"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}複数アプリケーション
リージョン内のすべての名前空間にまたがるアプリケーションのクエリ
1 つのリージョンには複数のマイクロサービス名前空間が含まれる場合があります。このポリシーは、指定されたリージョン内のすべての名前空間にあるアプリケーションへの読み取りアクセスを許可します。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadApplication"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/*/application/*"]
}
]
}名前空間内のすべてのアプリケーションの管理
特定の名前空間内で、完全なアプリケーション権限とクラスターの読み取りアクセスを許可します。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:*Application", "edas:ReadCluster"],
"Effect": "Allow",
"Resource": [
"acs:edas:$regionid:*:namespace/$namespace/application/*",
"acs:edas:$regionid:*:namespace/$namespace/cluster/*"
]
}
]
}クラスターポリシー
クラスターの作成
クラスターの作成を許可するには、Resource の値の末尾を cluster/* にする必要があります。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:CreateCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"],
"Effect": "Allow"
}
]
}クラスター詳細の表示
クラスター (そのインスタンスとアプリケーションを含む) への読み取り専用アクセス。
リソースグループに権限を割り当てることで、RAM ユーザーがそのグループ内のすべてのクラスターを表示できるようにします。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}クラスターの完全な管理
クラスターの作成、インスタンスの追加、変更、および削除を許可します。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}特定の操作を制限するには、明示的な Deny ステートメントを追加します:
管理は許可するが作成は拒否:
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
},
{
"Action": ["edas:CreateCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"],
"Effect": "Deny"
}
]
}管理を許可し、作成と削除の両方を拒否:
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
},
{
"Action": ["edas:CreateCluster", "edas:DeleteCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/*"],
"Effect": "Deny"
}
]
}$clusterId に特定のクラスター ID を設定すると、そのクラスターに限定して管理ができます。 * に設定すると、名前空間内のすべてのクラスターの管理が許可されます。
クラスターの削除
ReadCluster (クラスターを見つけるため) と DeleteCluster の両方が必要です。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadCluster", "edas:DeleteCluster"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/cluster/$clusterId"],
"Effect": "Allow"
}
]
}マイクロサービス名前空間ポリシー
マイクロサービス名前空間の作成
名前空間の作成を許可するには、Resource の値の末尾を namespace/* にする必要があります。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:CreateNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/*"],
"Effect": "Allow"
}
]
}マイクロサービス名前空間の表示
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}マイクロサービス名前空間の管理
マイクロサービス名前空間の変更または名前の変更を許可します。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}マイクロサービス名前空間の削除
ReadNamespace (名前空間を見つけるため) と DeleteNamespace の両方が必要です。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadNamespace", "edas:DeleteNamespace"],
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"],
"Effect": "Allow"
}
]
}マイクロサービスポリシー
マイクロサービスの表示
$applicationId を * に設定すると、名前空間内のすべてのマイクロサービスへのアクセスが許可されます。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadService"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}マイクロサービスのテスト
$namespace と $applicationId の両方を * に設定すると、すべての名前空間にまたがるテストが許可されます。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:TestService"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}マイクロサービスの管理
$applicationId を * に設定すると、名前空間内のすべてのマイクロサービスへの管理アクセスが許可されます。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageService"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace/application/$applicationId"]
}
]
}外れ値インスタンスの削除
外れ値インスタンスを削除すると、マイクロサービス名前空間内のすべてのアプリケーションに影響します。この権限は、名前空間レベルでのみスコープ設定できます。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageService"],
"Effect": "Allow",
"Resource": ["acs:edas:$regionid:*:namespace/$namespace"]
}
]
}リソース購入ポリシー
すべての購入ポリシーの
Resourceの値はacs:edas:*:*:*である必要があります。よりきめ細かなリソースのスコープ設定はサポートされていません。購入ポリシーは RAM ユーザーにのみ適用されます。
ECS インスタンスの購入
クラスター内で ECS インスタンスを購入する場合、ECS クラスターでアプリケーションを作成する場合、またはアプリケーションをスケールアウトする場合に適用されます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["edas:ECSPurchase"],
"Resource": ["acs:edas:*:*:*"]
}
]
}SLB インスタンスの購入
SLB インスタンスをアプリケーションにバインドする場合に適用されます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["edas:SLBPurchase"],
"Resource": ["acs:edas:*:*:*"]
}
]
}Simple Log Service リソースの購入
アプリケーション用に Log Service リソースをプロビジョニングする場合に適用されます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["edas:SLSPurchase"],
"Resource": ["acs:edas:*:*:*"]
}
]
}システムポリシー
システムポリシーは特定のリソースにスコープされません。Resource の値を acs:edas:*:*:* に設定してください。
システムの完全な管理
RAM ユーザーの管理、リソース使用量の表示、および操作ログの表示権限を許可します。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageSystem"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}システム O&M
操作ログの表示、一度に 1 つ以上の O&M タスクの実行、およびリソースグループの管理権限を許可します。
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ManageOperation"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}操作ログの表示
{
"Version": "1",
"Statement": [
{
"Action": ["edas:ReadOperationLog"],
"Resource": ["acs:edas:*:*:*"],
"Effect": "Allow"
}
]
}