Hologres で RAM ユーザーに権限を付与する - Hologres - Alibaba Cloud ドキュメントセンター

最小権限の原則を実装するために、Resource Access Management (RAM) ユーザーに必要なリソースへのアクセス権限を付与します。この方法により、Alibaba Cloud アカウントの認証情報や AccessKey ペアを共有する必要がなくなり、セキュリティリスクを低減できます。このトピックでは、ご利用の Alibaba Cloud アカウントから RAM ユーザーに権限を付与する方法と、各権限の機能について説明します。

背景情報

Resource Access Management (RAM) は、Alibaba Cloud が提供する権限管理システムです。

RAM は主に、アカウントシステム内の権限を制御するために使用されます。

RAM を使用すると、ご利用の Alibaba Cloud アカウントの権限範囲内で RAM ユーザーを作成し、各 RAM ユーザーに異なる権限を付与できます。これらの権限には、インスタンスの購入や削除、インスタンスリソースのスペックアップやスペックダウン、ネットワークタイプの変更、インスタンス情報の表示などの操作が含まれます。

インスタンスに対する RAM ユーザーの開発権限のアクセス制御は、次のように機能します。

Alibaba Cloud アカウントが RAM ユーザーに権限を付与しない場合、RAM ユーザーはコンソールでインスタンスを表示したり管理したりすることはできません。
Alibaba Cloud アカウントは、インスタンスの開発権限を RAM ユーザーに直接付与できます。RAM ユーザーがコンソールでインスタンスを管理できない場合でも、開発ツールに接続してデータ開発を行うことができます。詳細については、「インスタンスの開発権限を RAM ユーザーに付与する」をご参照ください。

RAM ユーザーへの権限付与

RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[アイデンティティ] > [グループ]を選択します。
[グループ] ページで、管理する RAM ユーザーグループを見つけ、[操作] 列の [権限の追加] をクリックします。
複数の RAM ユーザーグループを選択し、ページ下部の [権限の追加] をクリックして、RAM ユーザーグループに一括で権限を付与することもできます。

権限を追加します。

[権限の追加] ダイアログボックスで、パラメーターを設定します。

説明

HoloWeb はリソースグループに属することができないため、指定されたリソースグループに基づいて権限が付与されている場合、HoloWeb にログインしたり使用したりすることはできません。
以下で言及する権限は、RAM ユーザーが HoloWeb にログインして使用できるかどうかのみを決定します。RAM ユーザーが Hologres インスタンスに接続して使用する必要がある場合は、インスタンスの詳細ページで権限を付与する必要があります。詳細については、「インスタンスの開発権限を RAM ユーザーに付与する」をご参照ください。

リソース範囲を選択します。
- [アカウントレベル]：現在の Alibaba Cloud アカウント内で権限が有効になります。
- [リソースグループレベル]：指定されたリソースグループ内で権限が有効になります。
  
  重要
  リソースグループに基づいて権限を付与できるのは、対応する Alibaba Cloud サービスとリソースタイプがリソースグループをサポートしている場合のみです。詳細については、「リソースグループをサポートする Alibaba Cloud サービス」をご参照ください。リソースグループの権限付与の例については、「リソースグループを使用して指定された ECS インスタンスに対する RAM ユーザーの権限を制御する」をご参照ください。
権限付与エンティティを選択します。

権限付与エンティティは、権限を付与したい RAM ユーザーです。システムは現在の RAM ユーザーを自動的に選択します。

アクセスポリシーを選択します。

アクセスポリシーは、アクセス権限のコレクションです。アクセスポリシーは 2 種類に分類されます。一度に複数のアクセスポリシーを選択できます。

システムポリシー：Alibaba Cloud によって作成および保守されるポリシーです。これらのポリシーは使用できますが、変更はできません。詳細については、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。

説明

システムは、AdministratorAccess や AliyunRAMFullAccess などのリスクの高いシステムポリシーを自動的に識別します。権限を付与する際は、不要なリスクの高いアクセスポリシーを付与しないようにしてください。

次のアクセスポリシーを RAM ユーザーに付与して、次の表で説明されているすべての権限をユーザーに与えることができます。

アクセスポリシー	説明
AliyunHologresFullAccess	Hologres サービスを管理する権限。説明このアクセスポリシーには、インスタンスを使用する権限は含まれていません。ユーザーが Hologres インスタンスにログインして使用する前に、スーパーユーザーがインスタンスにユーザーを作成する必要があります。詳細については、「インスタンスの使用に関連する RAM ユーザー権限についてのよくある質問」をご参照ください。この権限が付与されると、RAM ユーザーは次の権限を持ちます：コンソールですべてのインスタンスに関する情報 (インスタンスリスト、インスタンス詳細、モニタリングページなど) を表示する。インスタンスの購入、スペックアップまたはスペックダウン、更新、停止、削除などの課金関連の操作を実行する。 HoloWeb にログインして使用する。 RAM ユーザーがインスタンスを購入すると、その RAM ユーザーはインスタンスのスーパーユーザーになり、インスタンスに対するすべての権限を持ちます。Alibaba Cloud アカウントもインスタンスのスーパーユーザーになります。 Alibaba Cloud アカウントによって作成されたインスタンスの場合、RAM ユーザーはデフォルトではインスタンスに対する権限を持ちません。Alibaba Cloud アカウントは、インスタンス内で RAM ユーザーに必要な権限を付与する必要があります。詳細については、「インスタンスの開発権限を RAM ユーザーに付与する」をご参照ください。 RAM ユーザーは、コンソールの Users ページですべてのユーザーを表示する権限を持っていません。ユーザーがコンソールの Users ページでユーザー情報を表示できるようにするには、RAM ユーザーに `listuser` 権限 (AliyunRAMReadOnlyAccess) を付与する必要があります。
AliyunHologresWarehouseFullAccess	Hologres 計算グループを管理する権限。説明このアクセスポリシーには、インスタンスを使用する権限は含まれていません。ユーザーが Hologres インスタンスにログインして使用する前に、スーパーユーザーがインスタンスにユーザーを作成する必要があります。詳細については、「インスタンスの使用に関連する RAM ユーザー権限についてのよくある質問」をご参照ください。この権限が付与されると、RAM ユーザーは次の権限を持ちます：計算グループの作成、削除、スケールアウト、スケールイン、停止、再開を含む計算グループの管理。スケジュールされたスケーリング機能の設定。 HoloWeb にログインして使用する。
AliyunBSSOrderAccess	ユーザーセンター (BSS) での注文の表示、支払い、キャンセルの権限。この権限が付与されると、RAM ユーザーはコンソールでインスタンスの構成をスペックアップまたはスペックダウンし、インスタンスを更新できます。
AliyunRAMReadOnlyAccess	Resource Access Management (RAM) に対する読み取り専用権限。この権限が付与されると、RAM ユーザーは HoloWeb の Users ページでユーザーを追加する際に、現在の Alibaba Cloud アカウント下のすべての RAM ユーザーと RAM ロールを表示できます。
AliyunHologresReadOnlyAccess	Hologres に対する読み取り専用権限。この権限が付与されると、RAM ユーザーは次の権限を持ちます：コンソールですべてのインスタンスに関する情報 (インスタンスリスト、インスタンス詳細など) を表示する。 HoloWeb にログインして使用する。インスタンスの購入、スペックアップ、スペックダウンなどの課金関連の操作を行う権限はない。インスタンスを管理する権限はない。Alibaba Cloud アカウントが RAM ユーザーにインスタンスレベルの権限を付与する必要がある。 RAM ユーザーは、コンソールまたは HoloWeb のユーザー管理ページで、現在の Alibaba Cloud アカウント下のすべての RAM ユーザーを表示することはできません。RAM ユーザーを表示するには、`AliyunRAMReadOnlyAccess` 権限を付与する必要があります。

説明

RAM ユーザーによって購入されたインスタンスの場合、Alibaba Cloud アカウントと RAM ユーザーの両方がデフォルトでスーパーユーザーになります。
Alibaba Cloud アカウントによって購入されたインスタンスの場合、RAM ユーザーは Alibaba Cloud アカウントから権限を付与された後にのみインスタンスを使用できます。

カスタムポリシー：お客様が管理するポリシーです。ポリシーバージョンの作成、更新、削除、および保守が可能です。詳細については、「カスタムポリシーの作成」をご参照ください。

重要

ユーザーにアクセスポリシーを設定する際は、ユーザーがコンソールにアクセスできるように、AliyunRAMReadOnlyAccess ポリシーを含めるようにしてください。

スクリプトモードでカスタムポリシーを作成できます。

Hologres では、以下のカスタム権限がサポートされています：

重要

コードを使用する際は、コメントを削除する必要があります。削除しない場合、コードは利用できません。

{
    "Statement": [
        {  // すべての権限を一度に付与します。このステートメントを設定した場合、以下の他の権限を設定する必要はありません。
            "Effect": "Allow",
            "Action": "hologram:*",// すべての操作が許可されます。
            "Resource": "acs:hologram:*:<AccountID>:instance/*"// すべてのリージョンのすべてのインスタンスが対象です。アスタリスク (*) はインスタンス ID に置き換えることはできません。
        },
        {   // 指定されたリージョン (cn-<region>) の Alibaba Cloud アカウント (<AccountID>) に属するすべての Hologres インスタンス (instance/*) に対するすべての操作 (hologram:*) を実行する権限を RAM ユーザーに付与します。
            "Effect": "Allow",
            "Action": "hologram:*",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {   // インスタンスを削除します。
            "Effect": "Allow",
            "Action": "hologram:DeleteInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"// インスタンスを削除するには、これを設定する必要があります。設定しない場合、インスタンスを削除できませんが、成功メッセージが表示されます。
        },
        {   // RAM ユーザーの購入権限。RAM ユーザーがインスタンスを購入するには、この権限を設定する必要があります。
            "Effect": "Allow",
            "Action": "bss:PayOrder",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"// テスト失敗。
        },
        {   // インスタンスの詳細を表示します。
            "Effect": "Allow",
            "Action": "hologram:GetInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*" // アスタリスク (*) はインスタンス ID に置き換えることができます。
        },
        { // インスタンスリストを表示します。
            "Effect": "Allow",
            "Action": "hologram:ListInstances",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"// アスタリスク (*) はインスタンス ID に置き換えることはできません。
        },
        {  // インスタンスを一時停止します。
            "Effect": "Allow",
            "Action": "hologram:StopInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // インスタンスを再開します。
            "Effect": "Allow",
            "Action": "hologram:ResumeInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // ネットワークタイプを変更します。
            "Effect": "Allow",
            "Action": "hologram:UpdateInstanceNetworkType",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        }.
        {  // HoloWeb にアクセスします。
            "Effect": "Allow",
            "Action": "hologram:HoloWebAccess",
            "Resource": "*"
        }      
    ],
    "Version": "1"
}

次の表にパラメーターを示します。

パラメーター	説明
<region>	リージョン。例：beijing。
<AccountID>	Alibaba Cloud アカウントの ID。
*	Alibaba Cloud アカウント内のすべてのインスタンスを示します。アスタリスク (*) を特定のインスタンス ID に置き換えることもできます。

以下はステートメントの例です。

acs:hologram:cn-beijing:4322xxxxx:instance/hhhgggxxxx

重要

以下の権限付与オプションでは、instance/* 内のアスタリスク (*) を特定のインスタンス ID に置き換えることはできません。* に設定する必要があります：

{
    "Statement": [
        {  // すべての権限を一度に付与します。このステートメントを設定した場合、以下の他の権限を設定する必要はありません。
            "Effect": "Allow",
            "Action": "hologram:*",// すべての操作が許可されます。
            "Resource": "acs:hologram:*:<AccountID>:instance/*"// すべてのリージョンのすべてのインスタンスが対象です。
        },
        {   // 指定されたリージョン (cn-<region>) の Alibaba Cloud アカウント (<AccountID>) に属するすべての Hologres インスタンス (instance/*) に対するすべての操作 (hologram:*) を実行する権限を RAM ユーザーに付与します。
            "Effect": "Allow",
            "Action": "hologram:*",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {   // インスタンスを削除します。
            "Effect": "Allow",
            "Action": "hologram:DeleteInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {   // RAM ユーザーの購入権限。ユーザーがインスタンスを購入する必要がある場合は、このステートメントを追加する必要があります。
            "Effect": "Allow",
            "Action": "bss:PayOrder",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        { // インスタンスリストを表示します。
            "Effect": "Allow",
            "Action": "hologram:ListInstances",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // インスタンスを一時停止します。
            "Effect": "Allow",
            "Action": "hologram:StopInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // インスタンスを再開します。
            "Effect": "Allow",
            "Action": "hologram:ResumeInstance",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // インスタンスのモニタリングアラートを表示します。
            "Effect": "Allow",
            "Action": "cms:DescribeMetricList", "cms:QueryMetricList"
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        },
        {  // ネットワークタイプを変更します。
            "Effect": "Allow",
            "Action": "hologram:UpdateInstanceNetworkType",
            "Resource": "acs:hologram:cn-<region>:<AccountID>:instance/*"
        }
    ],
    "Version": "1"
}

[認証ポリシーの確認] をクリックし、次に Disable をクリックします。

コンソールに関連する RAM ユーザー権限についてのよくある質問

Hologres コンソールは、RAM 認証とインスタンスの一部の開発権限を統合しています。以下は、Hologres コンソールに関連する権限についてのよくある質問です：

RAM ユーザーがインスタンスリストまたはインスタンス ID を表示できない。
- 症状
  
  RAM ユーザーが正しいリージョンを選択しても、購入したインスタンスを表示できません。次のエラーメッセージが表示されます：すべてのインスタンスを表示する権限がありません。Alibaba Cloud アカウントに連絡して、RAM コンソールに移動し、現在のユーザーに「xxx/*」リソースに対する hologram:ListInstances 権限を付与してください。
- 原因
  
  現在の RAM ユーザーには、インスタンスリストを表示する権限がありません。
- 解決策
  
  ご利用の Alibaba Cloud アカウントを使用して RAM コンソールにログインし、インスタンスリストを表示するために RAM ユーザーに AliyunHologresReadOnlyAccess 権限を付与します。
RAM ユーザーがインスタンスを管理する権限を持っていない。
- 症状
  
  スーパーユーザー権限を付与された RAM ユーザーが、インスタンスの購入、スペックアップ、スペックダウン、またはインスタンスの課金方法を 従量課金 からサブスクリプションに変更できません。次のエラーメッセージが表示されます：RAM ユーザーの認証に失敗しました。
- 原因
  
  購入、スペックアップ、スペックダウン、課金方法の変更などの操作は請求に関わるため、Alibaba Cloud アカウントによって制御されます。現在の RAM ユーザーには必要な権限がありません。
- 解決策
  
  ご利用の Alibaba Cloud アカウントを使用して RAM コンソールにログインし、インスタンス料金に関連する AliyunHologresFullAccess および AliyunBSSOrderAccess 権限を RAM ユーザーに付与します。

インスタンスの使用に関連する RAM ユーザー権限についてのよくある質問

Hologres インスタンスにログインして使用できない。
- 症状
  
  次のエラーが報告されます：role "<role_name>" does not exist。
- 原因
  
  Hologres インスタンスを作成した後、デフォルトでは Alibaba Cloud アカウントとインスタンスを購入した RAM ユーザーのみがインスタンスのスーパーユーザーとして作成されます。他の RAM ユーザーは、Hologres インスタンスにログインして使用する前に、スーパーユーザーによってインスタンスユーザーとして作成される必要があります。
- 解決策
  
  説明
  select * from pg_user; コマンドを実行して、現在のインスタンスのスーパーユーザーを表示できます。
  - HoloWeb の Users ページで、ユーザーを追加し、そのユーザーに権限を付与できます。詳細については、「ユーザー管理」をご参照ください。
  - インスタンスにログインし、create user "<role_name>" ステートメントを実行できます。詳細については、「Hologres 権限モデル」をご参照ください。
ユーザー管理および DB 管理ページを表示できない。
- 症状
  
  RAM ユーザーがコンソールにログインしても、Users および [DB 管理] ページにコンテンツが表示されません。次のエラーが表示されます：権限がありません。スーパーユーザーに連絡して、現在のアカウントをインスタンスに追加してください。
- 原因
  
  現在の RAM ユーザーには、インスタンスの開発権限がありません。関連情報を表示するには、特定の開発権限を付与する必要があります。
- 解決策
  
  ご利用の Alibaba Cloud アカウントまたはスーパーユーザー権限を持つ RAM ユーザーを使用して、この RAM ユーザーにインスタンスの開発権限を付与します。詳細については、「インスタンスの開発権限を RAM ユーザーに付与する」をご参照ください。
誤ってスーパーユーザーを削除してしまった
- 症状
  
  インスタンスのすべてのスーパーユーザーが誤って一般ユーザーに変更されてしまいました。
  
  説明
  インスタンスのすべてのスーパーユーザーが誤って一般ユーザーに変更された場合、ユーザー管理やインスタンス関連の操作を含むほとんどの操作を実行できなくなります。
- 解決策
  
  Hologres 公式 Q&A DingTalk グループに参加して、テクニカルサポートに連絡できます。詳細については、「オンラインサポート」をご参照ください。