Alibaba Cloud Elasticsearchクラスターを購入し、組織内の他の担当者 (O&M、開発、データ分析担当者など) がRAMユーザーを使用してクラスターにアクセスする場合、担当者が必要とする機能に基づいてRAMユーザーにポリシーをアタッチできます。これにより、システムのセキュリティと可用性が向上します。また、複数のユーザーグループを作成し、ユーザーグループに異なるポリシーをアタッチすることもできます。このようにして、ユーザーグループごとにユーザー権限を管理できます。
ポリシーの説明
RAMは、Alibaba Cloudが提供するリソースアクセス制御サービスです。詳細については、「RAMとは」をご参照ください。
ポリシーは、システムポリシーとカスタムポリシーに分類されます。
システムポリシー
システムポリシー
説明
AliyunElasticsearchReadOnlyAccess
ElasticsearchクラスターまたはLogstashクラスターに対する読み取り専用権限を付与します。このポリシーは、読み取り専用ユーザーにアタッチできます。
AliyunElasticsearchFullAccess
Elasticsearchクラスター、Logstashクラスター、またはBeatsシッパーに対する管理権限を付与します。このポリシーは、管理者にアタッチできます。
カスタムポリシー
システムポリシーがビジネス要件を満たしていない場合は、カスタムポリシーを作成できます。詳細については、「カスタムポリシーの作成」をご参照ください。
前提条件
RAMユーザーが作成されていること。詳細については、「RAM ユーザーの作成」をご参照ください。
手順
RAM管理者として RAMコンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
[ユーザー] ページで、必要なRAMユーザーを見つけ、権限の追加[アクション] 列の をクリックします。
複数のRAMユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に複数のRAMユーザーに権限を付与することもできます。
[権限の付与] パネルで、RAMユーザーに権限を付与します。
[リソース範囲] パラメーターを設定します。
[アカウント]: 承認は、現在のAlibaba Cloudアカウントに適用されます。
[リソースグループ]: 承認は、特定のリソースグループに適用されます。
重要[リソース範囲] パラメーターで [リソースグループ] を選択する場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに対する権限の付与方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
プリンシパルパラメーターを設定します。
プリンシパルは、権限を付与するRAMユーザーです。現在のRAMユーザーが自動的に選択されます。
ポリシーパラメーターを設定します。
ポリシーには、一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloudによって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。詳細については、「RAMで動作するサービス」をご参照ください。
説明システムは、AdministratorAccessやAliyunRAMFullAccessなどの高リスクのシステムポリシーを自動的に識別します。高リスクのポリシーをアタッチして、不要な権限を付与しないことをお勧めします。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。詳細については、「カスタムポリシーの作成」をご参照ください。
[権限の付与] をクリックします。
[閉じる] をクリックします。
付与された権限が有効になります。RAMユーザーとしてElasticsearchコンソールにログオンし、承認された操作を実行できます。
説明RAMユーザーが権限を必要としなくなった場合は、RAMユーザーから権限を取り消すことができます。詳細については、「RAMユーザーからの権限の取り消し」をご参照ください。
詳細については、「RAMユーザーへの権限の付与」をご参照ください。