すべてのプロダクト
Search

このプロダクト

    ApsaraDB for HBase:カスタム RAM 権限付与ポリシーの作成

    ドキュメントセンター

    ApsaraDB for HBase:カスタム RAM 権限付与ポリシーの作成

    最終更新日:Mar 28, 2026

    カスタム RAM ポリシーを使用すると、どの RAM ユーザーがどの ApsaraDB for HBase インスタンスに対してどのような操作を実行できるかを詳細に制御できます。すべてのリソースへのアクセスを許可するシステムポリシーとは異なり、カスタムポリシーでは特定のインスタンスに権限を限定したり、有効期限などの条件付きで複数の権限レベルを組み合わせたりすることが可能です。

    RAM コンソールでのカスタムポリシー作成手順については、「カスタムポリシーの作成」をご参照ください。

    リソースタイプと ARN フォーマット

    ApsaraDB for HBase は RAM 認可用に dbinstance という 1 種類のリソースタイプをサポートしています。

    ポリシーの Resource フィールドには、次のフォーマットを使用します。

    acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>
    パラメーター説明
    regionidインスタンスがデプロイされているリージョンの ID
    accountidご利用の Alibaba Cloud アカウント ID
    dbinstanceidApsaraDB for HBase インスタンスの ID

    ポリシーの例

    読み取り専用アクセスの付与

    以下のポリシーは、指定されたインスタンスに対して任意の hbase:Describe* API オペレーションを呼び出すことを RAM ユーザーに許可します。インスタンス情報の閲覧のみが必要な運用担当者や監査担当者向けに使用してください。

    {
    "Statement": [
        {
            "Action": [
                "hbase:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>"
            ]
        }
    ],
    "Version": "1"
}

    単一インスタンスに対する特定操作の許可

    以下のポリシーは、RAM ユーザーが特定のインスタンスに対してクラスターの作成およびストレージの拡張を行うことを許可します。単一のインスタンスを管理する開発者やオペレーター向けであり、他のインスタンスへのアクセスは許可されません。

    {
    "Statement": [
        {
            "Action": [
                "hbase:CreateCluster",
                "hbase:ResizeDiskSize"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>"
            ]
        }
    ],
    "Version": "1"
}

    有効期限付きの時間制限アクセスの付与

    Condition フィールドを使用して、ポリシーの有効期間を制限できます。以下のポリシーは、2020 年 8 月 17 日 (UTC + 08:00) まで、指定されたインスタンスに対して読み取りアクセス、クラスター作成、ストレージ拡張の権限を付与します。

    {
    "Statement": [
        {
            "Action": [
                "hbase:CreateCluster",
                "hbase:ResizeDiskSize",
                "hbase:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid>"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        }
    ],
    "Version": "1"
}

    以下のプレースホルダーを実際の値に置き換えてください。

    プレースホルダー説明
    <regionid>リージョンの IDcn-hangzhou
    <accountid>ご利用の Alibaba Cloud アカウント ID123456789012
    <dbinstanceid>ApsaraDB for HBase インスタンスの IDhb-bp1234567890abcd
    説明

    条件キーおよび演算子の完全なリストについては、「ポリシー構造と構文」をご参照ください。

    ApsaraDB for HBase による API 呼び出しの認証方法

    RAM ユーザーが ApsaraDB for HBase の API オペレーションを呼び出すと、サービスはそのユーザーのポリシーに必要な権限が付与されているかどうかを確認します。この確認では、呼び出された API オペレーションと対象となるリソースの両方が評価されます。

    たとえば、RAM ユーザーが CreateCluster を呼び出す場合、ApsaraDB for HBase は、ユーザーが対象リソース acs:hbase:<regionid>:<accountid>:dbinstance/<dbinstanceid> に対して hbase:CreateCluster 権限を持っているかどうかを確認します。