すべてのプロダクト
Search

このプロダクト

    OpenSearch:RAM ユーザーを作成し、RAM ユーザーに権限を付与する

    ドキュメントセンター

    OpenSearch:RAM ユーザーを作成し、RAM ユーザーに権限を付与する

    最終更新日:Dec 28, 2024

    AccessKey ペア認証に基づいてリソースアクセス管理 (RAM) ユーザーとして OpenSearch LLM ベースの対話型検索エディションの API オペレーションを呼び出したり、SDK を使用したり、RAM ユーザーとして OpenSearch LLM ベースの対話型検索エディションコンソールにログオンする場合は、RAM ユーザーに必要な権限を付与する必要があります。企業内の複数のユーザーが OpenSearch LLM ベースの対話型検索エディションを使用する必要がある場合は、複数の RAM ユーザーを作成し、各 RAM ユーザーに必要な権限のみを付与できます。これにより、ユーザーが Alibaba Cloud アカウントのユーザー名とパスワードまたは AccessKey ペアを共有することを防ぎます。このようにして、管理効率が向上し、情報漏洩のリスクが軽減されます。このトピックでは、RAM ユーザーを作成し、インスタンスとインスタンスの詳細の表示など、OpenSearch LLM ベースの対話型検索エディションで操作を実行するための権限を RAM ユーザーに付与する方法について説明します。

    前提条件

    Alibaba Cloud アカウント内に少なくとも 1 つの RAM ユーザーが作成されています。詳細については、RAM ユーザーの作成を参照してください。

    手順

    1. RAM コンソールに管理者アカウントを使用してログオンします。

      RAM は、次の 2 種類のポリシーをサポートしています。

      • システムポリシー: システムポリシーは、Alibaba Cloud によって作成および更新されます。システムポリシーを使用できますが、変更することはできません。

      • カスタムポリシー: ビジネス要件に合わせて、カスタムポリシーを作成、変更、削除、およびアップグレードできます。

    2. (オプション) カスタムポリシーを作成します。

      Alibaba Cloud によって提供されるシステムポリシーが要件を満たしていない場合は、アプリケーションの承認ルールに基づいて最小権限の原則を実装するカスタムポリシーを作成できます。詳細については、カスタムポリシーの作成を参照してください。

      一般的な最小権限セットの例

      RAM ユーザーとして OpenSearch コンソールにログオンする場合は、RAM ユーザーに必要な権限を付与する必要があります。一般的な最小権限セットには、アプリケーションとアプリケーションの詳細を表示するために必要な権限が含まれています。次のセクションでは、カスタムポリシーで一般的な最小権限セットを構成する方法の例を示します。

      例 1: インスタンスを表示する権限

      RAM ユーザーとして OpenSearch コンソールにログオンした後にインスタンスを表示する場合は、RAM ユーザーにインスタンスを表示する権限が必要です。次のサンプルコードは、インスタンスを表示するために必要な権限を付与するポリシーを示しています。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "opensearch:ListAppGroup",
      "Resource": "acs:opensearch:*:*:app-groups/*"
    }
  ]
}

      例 2: インスタンスの詳細を表示する権限

      RAM ユーザーとして OpenSearch コンソールにログオンした後にインスタンスの詳細を表示する場合は、RAM ユーザーにインスタンスの詳細を表示する権限が必要です。次のサンプルコードは、app_schema_demo という名前のインスタンスの詳細を表示するために必要な権限を付与するポリシーを示しています。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "opensearch:ListAppGroup",
      "Resource": "acs:opensearch:*:*:app-groups/*"
    },
    {
      "Effect": "Allow",
      "Action": ["opensearch:DescribeAppGroup",
                  "opensearch:ListApp"],
      "Resource": "acs:opensearch:*:*:app-groups/app_schema_demo"
    }
  ]
}

    3. RAM ユーザーに権限を付与します。

      作成したシステムポリシーまたはカスタムポリシーを RAM ユーザーにアタッチして、リソースへのアクセスまたは操作を実行するための権限を RAM ユーザーに付与します。詳細については、RAM ユーザーへの権限の付与を参照してください。RAM ユーザーの権限を構成または更新した後、権限は 5 分後に有効になります。

    4. RAM ユーザーに権限が付与された後、RAM ユーザーとして OpenSearch コンソールにログオンできます。

      詳細については、RAM ユーザーとして Alibaba Cloud 管理コンソールにログオンするを参照してください。

    参照

    • RAM ユーザーに付与されている権限と、RAM ユーザーが RAM ユーザーグループから継承する権限を表示できます。詳細については、RAM ユーザーの権限を表示するを参照してください。

    • RAM ユーザーが特定の権限を必要としなくなった場合、または RAM ユーザーが組織を離れた場合は、RAM ユーザーから権限を取り消すことができます。詳細については、RAM ユーザーからの権限の取り消しを参照してください。

    • RAM ユーザーでサポートされている多要素認証 (MFA) 方法、および MFA の使用上の注意と制限事項を表示できます。詳細については、多要素認証とはを参照してください。