このトピックでは、Resource Access Management (RAM) ユーザーに対してアプリケーションレベルのアクセス制御を実装する方法について説明します。
前提条件
Alibaba Cloud アカウントが必要です。お持ちでない場合は、「アカウント登録」をご参照ください。
RAM ユーザーを作成済みであること。まだ作成していない場合は、「RAM ユーザーの作成」をご参照ください。
説明RAM アカウントの設定については、「権限の設定」をご参照ください。
操作手順
RAM ユーザーに mPaaS コンソールへのアクセス権限を付与します。
Alibaba Cloud アカウントでRAM コンソールにログオンします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] の順にクリックします。
mPaaS コンソールへのアクセスが必要な RAM ユーザーを選択し、[権限の追加] をクリックします。
[権限の追加] ページで、
AliyunMPAASFullAccess権限を検索します。権限をクリックして追加し、[OK] をクリックします。これで、RAM ユーザーはルートアカウントによって作成されたすべてのアプリケーションにアクセスできるようになります。このユーザーのアクセスをさらに制限する必要がない場合は、以降の手順をスキップしてください。
RAM ユーザーにリソース隔離ポリシーを追加します。
Alibaba Cloud アカウントでRAM コンソールにログインします。
左側のナビゲーションウィンドウで、[権限管理] > [ポリシー] の順にクリックします。
[ポリシーの作成] をクリックします。
モードを [JSON] に設定します。
説明現在、mPaaS はビジュアルエディターをサポートしていません。
ポリシー内容を編集します。特定のアプリケーションにアクセスするための RAM ポリシーとすべての mPaaS アプリケーションにアクセスするための RAM ポリシーの例を以下に示します。特定のアプリケーション用のルールを使用する場合は、ルール内の App ID を、権限を付与したいアプリケーションの App ID に置き換えてください。複数のアプリケーションに権限を付与する場合は、App ID をコンマ (,) で区切ります。
特定のアプリケーションにアクセスするための RAM ルール:
{ "Version": "1", "Statement": [ { "Action": [ "mpaas:FilterApp" ], "Resource": "*", "Effect": "Deny", "Condition": { "StringNotEquals": { "mpaas:AppId": [ "ONEXCBAD96A290957", "..." ] } } }, { "Action": [ "mpaas:*" ], "Resource": "*", "Effect": "Allow" } ] }すべてのアプリケーションにアクセスするための RAM ルール:
{ "Version": "1", "Statement": [ { "Action": [ "mpaas:*" ], "Resource": "*", "Effect": "Allow" } ] }
[次へ: 基本情報の編集] をクリックします。
ポリシー名と説明を入力し、[OK] をクリックします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] の順にクリックします。
mPaaS コンソールへのアクセスが必要な RAM ユーザーを選択し、[権限の追加] をクリックします。
[権限の追加] ページで、先ほど作成したカスタムポリシーを検索します。ポリシーをクリックして追加し、[OK] をクリックします。これで、リソース隔離ポリシーが RAM ユーザーにアタッチされました。