企業内の複数のユーザーがリソースで共同作業を行う必要がある場合、RAM を使用すると、Alibaba Cloud プライマリアカウントのアクセスキーを他のユーザーと共有する必要がなくなり、ユーザーに必要な最小限の権限を付与できます。これにより、企業の情報セキュリティリスクが軽減されます。
シナリオ
次の例は、RAM を使用してアクセス制御を実装する方法を示しています。
RAM ユーザーを使用して権限を委任する
企業 A がプロジェクト X のために、ECS インスタンス、RDS インスタンス、サーバーロードバランサーインスタンス、OSS バケットなど、さまざまな Alibaba Cloud 製品を購入したとします。プロジェクト内の複数の従業員がこれらのクラウド リソースに対して操作を実行する必要があります。従業員の責任はそれぞれ異なるため、必要な権限も異なります。企業 A は次の要件を満たす必要があります。
- セキュリティ上の理由から、企業 A は Alibaba Cloud アカウントのアクセスキーを従業員に開示したくありません。代わりに、従業員用に独立したアカウントを作成したいと考えています。
- ユーザーアカウントは、承認されているリソースに対してのみ操作できます。企業 A は、いつでもユーザーアカウントの権限を取り消したり、削除したりできます。
- ユーザーアカウントを個別に測定および課金する必要はなく、すべての費用は A が負担します。
上記の要件に対応するために、RAM の認証管理機能を使用して、ユーザー認証と統合リソース管理を実装できます。
ポリシー
次の表に、Tracing Analysis でサポートされているシステムポリシーを示します。
ポリシー | タイプ | 説明 |
AliyunTracingAnalysisFullAccess | システムポリシー | Tracing Analysis のフルアクセス権限 |
AliyunTracingAnalysisReadOnlyAccess | システムポリシー | Tracing Analysis の読み取り専用権限 |