コンソールで RAM ユーザーに権限を付与する方法 - Simple Message Queue (formerly MNS)

Simple Message Queue (旧称：MNS) を使用すると、Alibaba Cloud アカウントは Resource Access Management (RAM) ユーザーにリソースレベルの権限を付与できます。このプラクティスは、Alibaba Cloud アカウントの AccessKey ペアを公開することによって生じる可能性のあるセキュリティリスクを防ぎます。権限を付与された RAM ユーザーのみが、Simple Message Queue (旧称：MNS) コンソールでリソースを管理し、ソフトウェア開発キット (SDK) を使用するか、API 操作を呼び出してメッセージを公開およびサブスクライブできます。

シナリオ

企業 A は Simple Message Queue (旧称：MNS) サービスを購入します。企業 A の従業員は、キューや Topic などのこのサービスのリソースを管理する必要があります。従業員は職務が異なるため、異なる権限が必要です。

次のシナリオを考えます。

セキュリティまたは信頼上の理由から、企業 A は Alibaba Cloud アカウントの AccessKey ペアを従業員に直接公開したくありません。代わりに、企業 A は従業員用のユーザーアカウントを作成したいと考えています。
ユーザーアカウントは、適切な権限付与がある場合にのみリソースを操作できます。課金はユーザーアカウントごとに個別には計算されません。すべての費用は、企業 A の Alibaba Cloud アカウントに請求されます。
企業 A は、いつでもユーザーアカウントから権限を取り消したり、ユーザーアカウントを削除したりできます。

このシナリオでは、企業 A の Alibaba Cloud アカウントは、従業員がアクセスする必要のあるリソースに対して詳細な権限を付与できます。

方法 1: [ユーザー] ページで RAM ユーザーに権限を付与する

RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
[ユーザー] ページで、目的の RAM ユーザーを見つけ、[アクション] 列の [権限の追加] をクリックします。
複数の RAM ユーザーを選択し、ページ下部の [権限の追加] をクリックして、一度に RAM ユーザーに権限を付与することもできます。
[権限の付与] パネルで、RAM ユーザーに権限を付与します。
1. [リソース範囲] パラメーターを設定します。
  - アカウント: 権限付与は現在の Alibaba Cloud アカウントで有効になります。
  - リソースグループ: 権限付与は特定のリソースグループで有効になります。
    重要
    [リソース範囲] パラメーターに [リソースグループ] を選択した場合は、目的のクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループと連携するサービス」をご参照ください。リソースグループで権限を付与する方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
2. プリンシパルパラメーターを設定します。
  プリンシパルは、権限を付与する RAM ユーザーです。現在の RAM ユーザーが自動的に選択されます。
3. ポリシーパラメーターを設定します。
  ポリシーには一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
  - システムポリシー: Alibaba Cloud によって作成されるポリシー。これらのポリシーは使用できますが、変更はできません。ポリシーのバージョン更新は Alibaba Cloud によって維持されます。詳細については、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
    説明
    システムは、AdministratorAccess や AliyunRAMFullAccess などのリスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
  - カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーを作成、更新、削除できます。詳細については、「カスタムポリシーの作成」をご参照ください。
4. [権限の付与] をクリックします。
[閉じる] をクリックします。

方法 2: [権限の付与] ページで RAM ユーザーに権限を付与する

RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[権限] > [権限付与] を選択します。
[権限] ページで、[権限の付与] をクリックします。
[権限の付与] パネルで、RAM ユーザーに権限を付与します。
1. リソース範囲パラメーターを設定します。
  - アカウント: 権限付与は現在の Alibaba Cloud アカウントで有効になります。
  - リソースグループ: 権限付与は特定のリソースグループで有効になります。
    重要
    [リソース範囲] パラメーターに [リソースグループ] を選択した場合は、目的のクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループと連携するサービス」をご参照ください。リソースグループで権限を付与する方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
2. プリンシパルパラメーターを設定します。
  プリンシパルは、権限を付与する RAM ユーザーです。一度に複数の RAM ユーザーを選択できます。
3. アクセスポリシーを選択します。
  アクセスポリシーは、アクセス権限のコレクションです。アクセスポリシーは、次のタイプに分類されます。複数のアクセスポリシーを選択できます。
  - システムポリシー: Alibaba Cloud によって作成されるポリシー。これらのポリシーは使用できますが、変更はできません。ポリシーのバージョン更新は Alibaba Cloud によって維持されます。詳細については、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
    説明
    システムは、AdministratorAccess や AliyunRAMFullAccess などのリスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
  - カスタムポリシー: カスタムポリシーを作成、更新、削除できます。また、これらのポリシーとそのバージョンを管理する責任があります。詳細については、「カスタム権限ポリシーリファレンス」をご参照ください。
4. [権限の付与] をクリックします。
[閉じる] をクリックします。

次のステップ

RAM ユーザーを作成したら、ログイン名とパスワード、または AccessKey 情報をユーザーに提供します。ユーザーは、RAM ユーザーの資格情報を使用して、次のようにコンソールにログインしたり、API 操作を呼び出したりできます。

コンソールにログインします。
1. ブラウザで RAM ユーザーログインページを開きます。
2. [RAM ユーザーログイン] ページで、RAM ユーザーのログイン名を入力し、[次へ] をクリックして、RAM ユーザーのパスワードを入力してから、[ログイン] をクリックします。
  説明
  RAM ユーザーのログイン名は、<$username>@<$AccountAlias> または <$username>@<$AccountAlias>.onaliyun.com のフォーマットです。<$AccountAlias> はアカウントのエイリアスです。アカウントのエイリアスが設定されていない場合、デフォルトで Alibaba Cloud アカウントの ID が使用されます。
3. Alibaba Cloud 管理コンソールページで、権限のあるプロダクトをクリックして、そのコンソールにアクセスします。
RAM ユーザーの AccessKey ペアを使用して API 操作を呼び出します。
コードで RAM ユーザーの AccessKey ID と AccessKey Secret を使用します。