Resource Access Management (RAM) ユーザーが EMR Serverless StarRocks コンソールの機能を使用できるようにするには、Alibaba Cloud アカウントを使用して RAM コンソールにログインし、必要な権限を RAM ユーザーに付与します。
背景情報
Resource Access Management (RAM) は、リソースのアクセス制御のための Alibaba Cloud サービスです。詳細については、「RAM とは」をご参照ください。EMR Serverless StarRocks で RAM を使用する一般的なシナリオは次のとおりです。
ユーザー: O&M スタッフ、開発者、データアナリストなど、組織内の複数の人が EMR Serverless StarRocks インスタンスを使用する必要がある場合、ポリシーを作成してアクセス権を付与できます。これにより、単一の AccessKey を複数の人と共有する必要がなくなります。
ユーザーグループ: 複数のユーザーグループを作成し、異なるアクセスポリシーをアタッチして、ユーザー権限をバッチで管理できます。ユーザーグループに権限を付与する手順は、個々の RAM ユーザーの場合と同じです。
アクセスポリシーとロール
システムポリシーとロール
EMR Serverless StarRocks では、以下のポリシーが使用されます。
ポリシー名
説明
AliyunEMRStarRocksFullAccess
EMR Serverless StarRocks の管理者権限を付与します。これには、すべての操作と機能が含まれます。
AliyunEMRStarRocksReadOnlyAccess
EMR Serverless StarRocks の読み取り専用権限を付与します。これには、インスタンスリストの表示とインスタンス詳細のクエリ権限が含まれますが、インスタンスの作成、更新、変更は含まれません。
AliyunBSSOrderAccess
ユーザーセンターでの注文の表示、支払い、キャンセルの権限を付与します。これは、管理コンソールでインスタンス構成のスペックアップまたはスペックダウン、およびインスタンスの更新を行うために必要です。
AliyunSLBFullAccess
Server Load Balancer (SLB) を管理する権限を付与します。この権限は、SLB の操作と管理を伴うため、StarRocks のパブリックまたは内部ホワイトリストを構成するために必要です。
EMR Serverless StarRocks では、以下のロールが使用されます。
ロール名
説明
AliyunEMRStarRocksAccessingOSSRole
EMR Serverless StarRocks はこのロールを使用して OSS 内のデータにアクセスします。
カスタムポリシー
Alibaba Cloud サービスの API に精通しており、詳細なアクセスの制御ポリシーが必要な場合は、カスタムポリシーを作成できます。詳細については、「ポリシーの構造と構文」をご参照ください。ポリシーを作成する際には、ポリシースクリプトを慎重に設計する必要があります。
プロシージャ
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、目的の RAM ユーザーを見つけ、[アクション] 列の [権限の追加] をクリックします。
複数の RAM ユーザーを選択し、ページ下部の [権限の追加] をクリックして、一度に RAM ユーザーに権限を付与することもできます。
[権限の追加] パネルで、必要な権限付与の範囲、承認されたエンティティ、および権限を選択します。
パラメーター
説明
リソース範囲
アカウント: 権限は現在の Alibaba Cloud アカウント内で有効になります。
リソースグループ: 権限は指定されたリソースグループ内で有効になります。
プリンシパル
権限を付与する RAM ユーザー。
アクセスポリシー
[システムポリシー] で、StarRocks と入力して EMR Serverless StarRocks に関連するアクセスポリシーを検索します。次に、RAM ユーザーに付与するポリシーをクリックして権限を選択します。各アクセスポリシーの詳細な説明については、「ポリシーとロール」をご参照ください。
[OK] をクリックします。
権限が付与されると、すぐに有効になります。その後、承認された RAM ユーザーを使用して EMR Serverless コンソールにログインし、関連する操作を実行できます。