RAM ユーザーへの権限付与 - EventBridge - Alibaba Cloud ドキュメントセンター

EventBridgeでは、Alibaba Cloudアカウントがリソースに対する権限をResource Access Management (RAM) ユーザーに付与できます。これにより、Alibaba CloudアカウントのAccessKeyペアが公開されるリスクを防ぎます。許可されたRAMユーザーのみが、EventBridgeコンソールでリソースを管理し、SDKおよびAPI操作を使用してイベントを公開できます。

シナリオ

エンタープライズAはEventBridgeサービスを購入しており、エンタープライズAの従業員は、イベントルールやイベントバスなど、このサービスに関連するリソースを管理する必要があります。異なる職務を持つ従業員は異なる権限を必要とします。

次のセクションでは、特定のシナリオを紹介します。

セキュリティ上の理由から、エンタープライズAはAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。代わりに、エンタープライズAは、従業員に対して異なるRAMユーザーを作成し、RAMユーザーに異なる権限を付与することを好みます。
RAMユーザーは権限付与下でのみリソースを使用できます。リソース使用量とコストは、RAMユーザーに対して個別に計算されません。すべての費用は、エンタープライズAのAlibaba Cloudアカウントに請求されます。
エンタープライズAは、いつでもRAMユーザーに付与された権限を取り消し、RAMユーザーを削除できます。

このシナリオでは、エンタープライズAのAlibaba Cloudアカウントは、必要に応じてリソースに対するきめ細かい権限を従業員に付与できます。

方法1: [ユーザー] ページでRAMユーザーに権限を付与する

にログインします。RAMコンソールRAM管理者として
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
On theユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
では、権限付与パネルで、RAMユーザーに権限を付与します。
1. Resource Scopeパラメーターを設定します。
  - アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
  - リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。
    重要
    [リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
2. Principalパラメーターを設定します。
  プリンシパルは、権限を付与するRAMユーザーです。現在のRAMユーザーが自動的に選択されます。
3. Policyパラメーターを設定します。
  ポリシーには、一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
  - システムポリシー: Alibaba Cloudによって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。詳細については、「RAMで動作するサービス」をご参照ください。
    説明
    システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
  - カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーを作成、更新、削除できます。詳細については、「カスタムポリシーの作成」をご参照ください。
4. [権限付与] をクリックします。
クリック閉じる.

方法2: [付与] ページでRAMユーザーに権限を付与する

にログインします。RAMコンソールRAM管理者として
左側のナビゲーションウィンドウで、権限 > 助成金.
On the権限ページをクリックします。権限付与.
では、権限付与パネルで、RAMユーザーに権限を付与します。
1. Resource Scopeパラメーターを設定します。
  - アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
  - リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。
    重要
    [リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
2. Principalパラメーターを設定します。
  プリンシパルは、権限を付与するRAMユーザーです。一度に複数のRAMユーザーを選択できます。
3. Policyパラメーターを設定します。
  ポリシーには、一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
  - システムポリシー: Alibaba Cloudによって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。詳細については、「RAMで動作するサービス」をご参照ください。
    説明
    システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
  - カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーを作成、更新、削除できます。詳細については、「カスタムポリシーの作成」をご参照ください。
4. [権限付与] をクリックします。
閉じるをクリックします。

参考資料

RAMとは何ですか?

次のステップ

Alibaba Cloudアカウントを使用してRAMユーザーを作成した後、RAMユーザーのRAMユーザー名とパスワードまたはAccessKeyペア情報を他の従業員に配布できます。他の従業員は、次の手順に基づいて、コンソールにログインするか、RAMユーザーとしてサービスのAPI操作を呼び出すことができます。

EventBridgeコンソールにログインします。
1. ブラウザでRAMユーザーログインポータルを開きます。
2. [RAMユーザーログイン] ページで、RAMユーザー名を入力し、[次へ] をクリックします。 RAMユーザーのパスワードを入力し、[ログイン] をクリックします。
  説明 RAMユーザー名の形式は、<$username >@<$ AccountAlias> または <$username >@<$ AccountAlia s>.onaliyun.comです。 <$AccountAlias> はアカウントのエイリアスです。アカウントエイリアスが設定されていない場合、Alibaba CloudアカウントのIDがデフォルトで使用されます。
3. コンソールのホームページで、承認されたサービスをクリックして、このサービスのコンソールにアクセスします。
RAMユーザーのAccessKeyペアを使用してAPI操作を呼び出します。
コードでRAMユーザーのAccessKey IDとAccessKey secretを使用します。