すべてのプロダクト
Search

このプロダクト

    ApsaraDB for MongoDB:リソースグループに基づくきめ細かいリソース制御

    ドキュメントセンター

    ApsaraDB for MongoDB:リソースグループに基づくきめ細かいリソース制御

    最終更新日:Feb 17, 2025

    ApsaraDB for MongoDBリソースをより効率的に管理するために、リソースグループを使用してリソースをグループにソートし、リソースグループを管理できます。 リソースグループを使用すると、部門、プロジェクト、および環境ごとにリソースをグループに分類し、リソースアクセス管理 (RAM) を使用して、単一のAlibaba Cloudアカウント内でリソースを分離し、リソース権限をきめ細かく管理できます。 このトピックでは、リソースグループに対するApsaraDB for MongoDBのサポートについて説明します。 このトピックでは、ApsaraDB for MongoDBリソースをグループにソートし、リソースグループを承認する方法についても説明します。

    用語

    リソースグループ

    リソースグループを使用すると、Alibaba Cloudアカウントが所有するリソースをグループに並べ替えることができます。 これにより、Alibaba Cloudアカウント内のリソースのグループ化、権限管理、およびコストの割り当てが簡素化されます。 たとえば、プロジェクトごとにリソースグループを作成し、プロジェクトで使用されているリソースをプロジェクトに対応するグループに転送できます。 これにより、プロジェクトのリソースを一元管理できます。 詳細については、「リソースグループとは」 および「リソースグループの設計に関するベストプラクティス」をご参照ください。

    リソースグループレベルの権限付与

    リソースをグループに並べ替えた後、RAMを使用して、指定したリソースグループに対する権限をRAMユーザー、RAMユーザーグループ、またはRAMロールに付与できます。 これにより、許可されたRAMユーザー、RAMユーザーグループ、またはRAMロールが管理できるリソースは、指定されたリソースグループ内のリソースに制限されます。 この承認方法は、優れた拡張性を有する。 後でリソースを追加する場合は、指定したポリシーを変更せずに、対応するリソースグループにリソースを追加するだけで済みます。 詳細については、「リソースをリソースグループに分類し、リソースグループに対する権限を付与する」をご参照ください。

    リソースグループレベルの権限付与の手順

    次の例では、指定したリソースグループ内のApsaraDB for MongoDBリソースを管理する権限をRAMユーザーに付与する方法について説明します。

    1. RAM コンソールにログインして、RAM ユーザーを作成します。

      詳細については、「RAM ユーザーの作成」をご参照ください。

    2. リソース管理コンソールにログインし、[リソースグループ] ページに移動してリソースグループを作成します。

      詳細については、「リソースグループの作成」をご参照ください。

    3. リソースをリソースグループに分類します。

      • リソースを作成する场合は, リソースが属するリソースグループを指定します。

      • 既存のリソースを使用する場合は、対応するリソースグループにリソースを転送します。 詳細については、「リソースグループ間の手動リソース転送の実行」をご参照ください。

    4. RAMコンソールにログインし、カスタムポリシーを作成します。

      説明

      RAMユーザーにシステムポリシーをアタッチする場合は、この手順をスキップしてください。 実際のビジネス環境では、最小権限の原則に基づいて、RAMユーザーに必要な権限のみを付与することをお勧めします。 これにより、過剰なユーザー権限によるセキュリティリスクを防ぎます。

      作成されたカスタムポリシーには、RAMユーザーが必要とする操作権限が含まれている必要があります。詳細については、「カスタムポリシーの作成」をご参照ください。

      カスタムポリシーの例:

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "dds:DescribeDBInstanceAttribute",
      "Resource": "*"
    }
  ]
}

    5. 有効範囲がリソースグループであるカスタムポリシーをRAMユーザーにアタッチします。

      次のいずれかの方法を使用して、RAMユーザーに権限を付与できます。

    重要

    リソースグループ権限付与は、リソースグループをサポートするリソースタイプに対してのみ有効です。 リソースグループをサポートしていないリソースタイプの場合、リソースグループに付与されている権限は有効になりません。 リソーススコープを選択したら、アカウントレベルの権限付与のアカウントレベルを選択します。

    ApsaraDB for MongoDBでリソースグループをサポートするリソースタイプの詳細については、「リソースグループをサポートするリソースタイプ」をご参照ください。 ApsaraDB for MongoDBでリソースグループをサポートしないリソースタイプの詳細については、「リソースグループレベルの権限付与をサポートしないアクション」をご参照ください。

    リソースグループをサポートするリソースタイプ

    次の表に、ApsaraDB for MongoDBのリソースグループをサポートするリソースタイプを示します。

    サービス名

    サービスコード

    リソースタイプ

    ApsaraDB for MongoDB

    dds

    dbinstance: インスタンス

    説明

    リソースグループをサポートしないリソースタイプが必要な場合は、

    チケットを起票します。

    リソースグループレベルの権限付与をサポートしないアクション

    次の表に、ApsaraDB for MongoDBでリソースグループレベルの権限付与をサポートしないアクションと、そのアクションに対応するAPIを示します。

    Action

    API

    API

    dds:CreateGlobalSecurityIPGroup

    CreateGlobalSecurityIPGroup

    グローバルIPホワイトリストテンプレートを作成します。

    dds:DescribeGlobalSecurityIPGroup

    DescribeGlobalSecurityIPGroup

    グローバルIPホワイトリストテンプレートを照会します。

    dds:ModifyGlobalSecurityIPGroup

    ModifyGlobalSecurityIPGroup

    グローバルIPホワイトリストテンプレートを変更します。

    dds:ModifyGlobalSecurityIPGroupName

    ModifyGlobalSecurityIPGroupName

    グローバルIPホワイトリストテンプレートの名前を変更します。

    dds:DeleteGlobalSecurityIPGroup

    DeleteGlobalSecurityIPGroup

    グローバルIPホワイトリストテンプレートを削除します。

    dds:DescribePrice

    DescribePrice

    ApsaraDB for MongoDBインスタンスにお問い合わせください。

    dds:DescribeKmsKeys

    DescribeKmsKeys

    ディスク暗号化に使用できるKMS (Key Management Service) キーを照会します。

    dds:DescribeActiveOperationMaintenanceConfig

    DescribeActiveOperationMaintenanceConfig

    O&Mタスクの設定を照会します。

    dds:ModifyActiveOperationMaintenanceConfig

    ModifyActiveOperationMaintenanceConfig

    O&Mタスクの設定を変更します。

    dds:CheckServiceLinkedRole

    CheckServiceLinkedRole

    ApsaraDB for MongoDBインスタンスに対してサービスにリンクされたロール (SLR) が作成されているかどうかを確認します。

    ApsaraDB for MongoDBのRAM権限付与の詳細については、「RAM権限付与」をご参照ください。

    リソースグループをサポートしていないリソースタイプの場合、リソースグループに付与されている権限は有効になりません。 RAMコンソールでカスタムポリシーを作成し、リソーススコープパラメーターをアカウントに設定する必要があります。

    image

    次のサンプルコードは、2つのカスタムポリシーを示しています。 必要に応じてポリシーの内容を調整できます。

    • 次のカスタムポリシーでは、リソースグループレベルの権限付与をサポートしない読み取り専用操作が許可されています。 カスタムポリシーの [アクション] フィールドには、リソースグループレベルの権限付与をサポートしないすべての読み取り専用操作が含まれます。 

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "dds:DescribeGlobalSecurityIPGroup",
        "dds:DescribePrice",        
        "dds:CheckServiceLinkedRole",
        "dds:DescribeKmsKeys",
        "dds:DescribeActiveOperationMaintenanceConfig"
      ],
      "Resource": "*"
    }
  ]
}

    • 次のカスタムポリシーでは、リソースグループレベルの権限付与をサポートしないすべての操作が許可されます。 カスタムポリシーの [アクション] フィールドには、リソースグループレベルの権限付与をサポートしないすべての操作が含まれます。 

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "dds:DescribeGlobalSecurityIPGroup",
        "dds:DescribePrice",        
        "dds:CheckServiceLinkedRole",
        "dds:DescribeKmsKeys",
        "dds:DescribeActiveOperationMaintenanceConfig",
        "dds:CreateGlobalSecurityIPGroup",
        "dds:ModifyGlobalSecurityIPGroup",
        "dds:ModifyGlobalSecurityIPGroupName",
        "dds:DeleteGlobalSecurityIPGroup",
        "dds:ModifyActiveOperationMaintenanceConfig"
      ],
      "Resource": "*"
    }
  ]
}
    重要

    アカウントレベルの権限が付与されたRAMユーザーまたはRAMロールは、アカウント全体でリソースを操作できます。 RAMユーザーまたはRAMロールに付与された権限が期待どおりであることを確認し、最小権限の原則に従ってください。