運用保守 (O&M)、開発、データ分析などのチームメンバーがご利用の Alibaba Cloud Elasticsearch クラスターにアクセスできるようにするには、各 RAM ユーザーに適切なポリシーをアタッチします。また、ユーザーグループを作成し、グループ レベルでポリシーをアタッチして、権限を一括で管理することもできます。
ポリシー
RAM ポリシーは、次の 2 種類に分類されます。
システムポリシー:Alibaba Cloud によって事前定義されています。これらは使用できますが、変更はできません。まずはシステムポリシーから使用を開始し、よりきめ細かな制御が必要になった場合にカスタムポリシーに切り替えることを推奨します。
ポリシー名 アクセスレベル アタッチ対象 AliyunElasticsearchReadOnlyAccessElasticsearch または Logstash クラスターに対する読み取り専用アクセス 読み取り専用ユーザー AliyunElasticsearchFullAccessElasticsearch クラスター、Logstash クラスター、または Beats シッパーの完全な管理 管理者 カスタムポリシー:ユーザーが作成および管理するポリシーです。システムポリシーの権限範囲が広すぎる場合に、カスタムポリシーを使用します。詳細については、「カスタムポリシーの作成」をご参照ください。
RAM の詳細については、「RAM とは」をご参照ください。
前提条件
開始する前に、以下を確認してください。
RAM ユーザーです。「RAM ユーザーの作成」をご参照ください。
RAM ユーザーへの権限付与
RAM 管理者として RAM コンソールにログインします。
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します。
[ユーザー] ページで対象の RAM ユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。複数のユーザーに一度に権限を付与するには、対象のユーザーを選択し、ページ下部の [権限の追加] をクリックします。
[権限の付与] パネルで、以下のパラメーターを設定します。
リソース範囲:権限付与の範囲を選択します。
アカウント:権限は現在の Alibaba Cloud アカウントに適用されます。
[リソースグループ]: 権限付与は特定のリソースグループに適用されます。> [重要]: [リソースグループ] を選択した場合は、対象のクラウドサービスがリソースグループをサポートしていることを確認してください。詳しくは、「リソースグループと連携するサービス」をご参照ください。「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」方法の例については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
プリンシパル:権限を付与する RAM ユーザーです。現在の RAM ユーザーが自動的に選択されます。
ポリシー:アタッチするポリシーを 1 つ以上選択します。ポリシーはシステムポリシーとカスタムポリシーに分類されます。
システムポリシー:Alibaba Cloud によって作成されます。使用は可能ですが、変更することはできません。Alibaba Cloud がバージョン更新を管理します。詳細については、「RAM と連携するサービス」をご参照ください。> [注]: システムは、
AdministratorAccessやAliyunRAMFullAccessなどの高リスクのシステムポリシーを自動的に識別します。これらのポリシーをアタッチするのは、必要不可欠な場合を除き避けてください。カスタムポリシー:ユーザーが管理するポリシーです。作成、更新、削除が可能です。詳細については、「カスタムポリシーの作成」をご参照ください。
[権限の付与] をクリックします。
[閉じる] をクリックします。
権限はすぐに有効になります。RAM ユーザーは Elasticsearch コンソールにログインし、権限が付与された操作を実行できるようになります。
次のステップ
RAM ユーザーがアクセスする必要がなくなった場合に権限を取り消すには、「RAM ユーザーからの権限の取り消し」をご参照ください。
詳細については、「RAM ユーザーへの権限付与」をご参照ください。