すべてのプロダクト
Search

このプロダクト

    Function Compute:権限アシスタントを使用して権限を管理する

    ドキュメントセンター

    Function Compute:権限アシスタントを使用して権限を管理する

    最終更新日:Feb 27, 2025

    Function Computeの権限アシスタントは、権限ポリシーの作成プロセスを簡素化します。 これにより、権限ポリシーを作成し、必要に応じてRAMユーザーにポリシーをアタッチできます。 このトピックでは、Function Computeコンソールで権限ポリシーを作成し、RAM (Resource Access Management) コンソールでカスタムポリシーを作成してRAMユーザーにアタッチする方法について説明します。

    背景情報

    権限アシスタントを使用して、権限ポリシーを作成できます。 権限アシスタントを使用して、Function Computeに対する権限を視覚化された方法で管理し、対応するポリシー構文をFunction Computeコンソールで生成できます。 次に、ポリシー構文をFunction Computeコンソールで生成された構文に置き換えることで、RAMコンソールでカスタムポリシーを作成できます。 その後、必要に応じてカスタムポリシーをRAMユーザーにアタッチできます。

    使用上の注意

    • Function Computeが新機能をリリースした場合、ポリシー構文を再度生成し、RAMコンソールでRAMユーザーにアタッチされているカスタムポリシーの構文を変更する必要があります。 それ以外の場合、RAMユーザーにはFunction Computeの新機能を使用する権限がありません。

    • 権限アシスタントを使用して、サービス、関数、レイヤー、ドメイン名ごとにFunction Computeリソースに対する権限を管理できます。 Function Computeリソースに対するきめ細かい権限、または他のAlibaba Cloudサービスへのアクセス権限をRAMユーザーに付与する場合は、「カスタムポリシーの作成」をご参照ください。

    前提条件

    ステップ1: Function Computeコンソールで権限ポリシーを作成する

    1. Function Computeコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[その他の機能] > [権限アシスタント] を選択します。

    3. [権限アシスタント] ページで、[ポリシーの作成] をクリックします。

    4. [ポリシーの作成] ウィザードの [ポリシーの設定] ステップで、パラメーターを設定し、[次へ] をクリックします。

      create-policy

      1. [基本的な設定] セクションで、次の表に示すパラメーターを設定します。

        パラメーター

        説明

        名前

        権限ポリシーの名前。

        補足

        権限ポリシーの説明。

      2. オプション: [Function Computeの権限] セクションで、必要に応じてパラメーターを設定します。

        1. [リソースの追加] をクリックし、[リージョン][サービス] 、および [関数] ドロップダウンリストからリージョンID、サービス、および関数を選択します。

          説明

          すべてのリージョンのリソースに対する権限ポリシーを作成するには、[リージョン] ドロップダウンリストから [すべてのリージョン] を選択します。

        2. [権限モジュール] セクションで、必要なモジュールを選択し、[権限モジュール] 列と [権限] 列でモジュールに対する権限を設定します。 produce-access

          説明

          Function Computeリソースに対する権限を、サービス、関数、レイヤー、ドメイン名でRAMユーザーに付与できます。

        3. オプション: [条件の追加] をクリックします。 キーワード修飾子、およびパラメーターを設定して、権限に制限を追加します。

          キーワード

          修飾子

          リクエスト日時

          • DataEquals

          • DataNotEquals

          • DataLessThan

          • DataLessThanEquals

          • DataGreaterThan

          • DataGreaterThanEquals

          リクエストが送信された時点。 ISO 8601形式で時刻を指定します。 例: 2021-11-11T23:59:59Z。 Qualifierパラメーターを設定すると、デフォルトで値フィールドに現在の時刻が入力されます。

          安全なチャネル

          Bool

          要求の送信に安全なチャネルを使用するかどうかを指定します。 たとえば、リクエストはHTTPSを介して送信できます。

          • true: 安全なチャネルを使用してリクエストを送信します。

          • false: リクエストの送信に安全なチャネルは使用されません。

          クライアントIPアドレス

          • IpAddress

          • NotIpAddress

          クライアントの IP アドレス。 例: 10.0.XX.XX.

          多要素認証

          Bool

          ユーザーログイン中に多要素認証 (MFA) を使用するかどうかを指定します。 MFAとは、ログオン認証に3つ以上の方法を使用することを指します。

          • true: MFAはユーザーログイン中に使用されます。

          • false: ユーザーログイン中にMFAは使用されません。

      3. オプション: [クラウドサービスの権限] セクションで、必要なAlibaba Cloudサービスを選択し、[権限モジュール] および [権限] 列でサービスに対する権限を設定します。

        aliyun-access

        説明

        Function Computeに他のAlibaba Cloudサービスへのアクセス権限を付与する場合は、「Function Computeに他のAlibaba Cloudサービスへのアクセス権限を付与」をご参照ください。

    5. [ポリシーのプレビュー] ステップで、生成されたルールを確認し、[次へ] をクリックします。

      [ポリシー] セクションで、[圧縮][フォーマット] 、または [コピー] をクリックして、必要に応じて生成されたポリシー構文を管理できます。 コピーされたポリシー構文は、RAMコンソールでカスタムポリシーを作成するために使用されます。 詳細については、「手順2: RAMコンソールでカスタムポリシーを作成する」をご参照ください。

    6. [RAMに適用] ステップで、RAMコンソールでカスタムポリシーを作成する手順を読み、[完了] をクリックします。

    手順2: RAMコンソールでカスタムポリシーを作成する

    RAMコンソールでカスタムポリシーを作成するときは、Function Computeコンソールでコピーしたポリシー構文を使用する必要があります。 詳細については、「手順1: Function Computeコンソールで権限ポリシーを作成する」をご参照ください。

    1. にログインします。RAMコンソール管理者権限を持つRAMユーザーとして

    2. 左側のナビゲーションウィンドウで、権限 > ポリシー.

    3. On theポリシーページをクリックします。ポリシーの作成.

    4. On theポリシーの作成ページをクリックし、JSONタブをクリックします。

    5. コードエディターに次のポリシーコンテンツを入力し、[次へ] をクリックしてポリシー情報を編集します。

      RAMポリシーの構文と構造の詳細については、「ポリシー構造と構文」をご参照ください。

    6. を指定します。Specify the名前説明フィールドを使用します。

    7. カスタムポリシーの内容を確認して最適化します。

      • 基本的な最適化

        システムは自動的にポリシーステートメントを最適化します。 基本的な最適化中に、システムによって次の操作が実行されます。

        • 不要な条件が削除されます。

        • 不要な配列が削除されます。

      • (オプション) 高度な最適化

        ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。 システムは、高度な最適化中に次の操作を実行します。

        • 操作と互換性のないリソースまたは条件が分割されます。

        • リソースが絞り込まれます。

        • ポリシーステートメントの重複排除またはマージが行われます。

    8. クリックOK.

    手順3: RAMコンソールでRAMユーザーにカスタムポリシーをアタッチする

    カスタムポリシーを作成した後、RAMコンソールでビジネス要件に基づいてポリシーをRAMユーザーにアタッチできます。 このセクションでは、RAMコンソールの [付与] ページで、RAMユーザーにカスタムポリシーをアタッチする方法について説明します。 詳細については、「RAMユーザーへの権限付与」をご参照ください。

    1. にログインします。RAMコンソールRAM管理者として

    2. 左側のナビゲーションウィンドウで、権限 > 助成金.

    3. On the権限ページをクリックします。権限付与.

      image

    4. では、権限付与パネルで、RAMユーザーに権限を付与します。

      1. Resource Scopeパラメーターを設定します。

      2. Principalパラメーターを設定します。

        プリンシパルは、権限を付与するRAMユーザーです。 一度に複数のRAMユーザーを選択できます。

      3. Policyパラメーターを設定します。

        ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。

        • システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。

          説明

          システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。

        • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。

      4. [権限付与] をクリックします。

    5. 閉じるをクリックします。

    関連ドキュメント

    Function Computeコンソールに加えて、API操作を呼び出すか、SDKを使用して権限アシスタントを使用できます。 詳細は、「SDK」をご参照ください。