リソースグループを使用して Object Storage Service (OSS) リソースをグループ化することで、リソースをより効率的に管理できます。リソースグループを使用すると、部門、プロジェクト、環境などのディメンションでリソースをグループ化できます。Resource Access Management (RAM) と併用すると、リソースグループは、単一の Alibaba Cloud アカウント内でのリソースの隔離と詳細な権限管理を実現するのに役立ちます。このトピックでは、OSS がリソースグループをサポートする方法、OSS リソースをグループ化する方法、およびリソースグループレベルの権限付与を実行する方法について説明します。
用語
リソースグループ
リソースグループは、Alibaba Cloud アカウントでリソースをグループ化して管理するためのメカニズムです。リソースグループは、単一の Alibaba Cloud アカウント内で、リソースのグループ化、権限管理、コスト配分などの複雑なタスクを管理するのに役立ちます。たとえば、プロジェクトごとにリソースグループを作成し、プロジェクトのリソースを対応するグループに転送できます。これにより、各プロジェクトのリソースを一元管理できます。詳細については、「リソースグループとは」および「リソースグループを設計するためのベストプラクティス」をご参照ください。
リソースグループレベルの権限付与
リソースをグループ化した後、RAM を使用して、RAM ユーザー、RAM ユーザーグループ、RAM ロールなどの RAM エンティティに特定のリソースグループに対する権限を付与できます。これにより、エンティティは指定されたリソースグループ内のリソースのみを管理するように制限されます。この権限付与方法は、優れた拡張性を提供します。新しいリソースを追加する場合、アクセスポリシーを変更することなく、対応するリソースグループに追加するだけで済みます。詳細については、「リソースのグループ化と権限付与」をご参照ください。
リソースグループレベルの権限付与の手順
次の手順では、特定のリソースグループ内の OSS リソースを管理する権限を Resource Access Management (RAM) ユーザーに付与する方法について説明します。
RAM コンソールで RAM ユーザーを作成します。
詳細については、「RAM ユーザーを作成する」をご参照ください。
リソースグループコンソールでリソースグループを作成します。
詳細については、「リソースグループを作成する」をご参照ください。
対応するリソースグループにリソースを割り当てます。
新しいリソース: リソースを作成するときに、それが属するリソースグループを指定します。
既存のリソース: 既存のリソースを対応するリソースグループに転送します。詳細については、「リソースグループへのリソースの手動転送」をご参照ください。
RAM コンソールでカスタムポリシーを作成します。
RAM ユーザーに必要な操作権限を含むカスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。システムポリシーを RAM ユーザーに付与する場合は、このステップをスキップできます。
重要本番環境では、最小権限の原則 (PoLP) に従ってください。過剰な権限によるセキュリティリスクを回避するために、RAM ユーザーには必要最小限の権限のみを付与してください。
次のコードは、カスタムポリシーの例を示しています。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:GetObject", "oss:PutObject" ], "Resource": "*" } ] }指定されたリソースグループに対する権限を RAM ユーザーに付与します。
次のいずれかの方法で権限を付与できます:
リソースグループコンソールで権限を付与します。リソース範囲は、デフォルトで対応するリソースグループに設定されます。詳細については、「RAM ID へのリソースグループの権限付与」をご参照ください。
RAM コンソールで権限を付与できます。[リソース範囲] を選択するときは、必ず [リソースグループレベル] を選択してください。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
リソースグループレベルの権限付与は、リソースグループをサポートするリソースタイプに対してのみ有効です。リソースグループをサポートしないリソースタイプの場合、リソースグループに権限を付与しても効果はありません。この場合、リソース範囲として [アカウントレベル] を選択して、アカウントレベルの権限を付与する必要があります。詳細については、「リソースグループレベルの権限付与をサポートしない操作」をご参照ください。
リソースグループをサポートするリソースタイプ
OSS は、一部のリソースタイプのリソースグループをサポートしています。次の表に、サポートされているリソースタイプを示します。
Alibaba Cloud サービス | サービスコード | リソースタイプ |
Object Storage Service (OSS) | oss | バケットはストレージスペースです。 |
まだリソースグループをサポートしていないリソースタイプのサポートをリクエストするには、チケットを送信できます。
リソースグループレベルの権限付与をサポートしない操作
次の表に、OSS でリソースグループレベルの権限付与をサポートしない操作 (アクション) とそれに対応する API 操作を示します。
操作 (アクション) | API | API の説明 |
oss:DescribeRegions | DescribeRegions | サポートされているすべてのリージョンまたは指定されたリージョンのエンドポイント情報を照会します。 |
oss:ListUserDataRedundancyTransition | ListUserDataRedundancyTransition | リクエスターのすべてのストレージ冗長性変換タスクを一覧表示します。 |
oss:PutPublicAccessBlock | PutPublicAccessBlock | グローバルレベルで OSS のパブリックアクセスブロックを有効にします。 |
oss:GetPublicAccessBlock | GetPublicAccessBlock | OSS のグローバルパブリックアクセスブロックの構成情報を取得します。 |
oss:DeletePublicAccessBlock | DeletePublicAccessBlock | OSS のグローバルパブリックアクセスブロックの構成情報を削除します。 |
oss:InitUserAntiDDosInfo | InitUserAntiDDosInfo | OSS インスタンス用の Anti-DDoS を作成します。 |
oss:UpdateUserAntiDDosInfo | UpdateUserAntiDDosInfo | OSS インスタンス用の Anti-DDoS のステータスを変更します。 |
oss:GetUserAntiDDosInfo | GetUserAntiDDosInfo | 指定されたアカウントの OSS インスタンス用の Anti-DDoS に関する情報を照会します。 |
oss:InitBucketAntiDosInfo | InitBucketAntiDosInfo | バケットの保護を初期化します。 |
oss:UpdateBucketAntiDDosInfo | UpdateBucketAntiDDosInfo | バケットの保護ステータスを更新します。 |
oss:ListBucketAntiDDosInfo | ListBucketAntiDDosInfo | バケットの保護情報の一覧を取得します。 |
oss:ListResourcePools | ListResourcePools | 現在のリージョンのリソースプールを一覧表示します。 |
oss:GetResourcePoolInfo | GetResourcePoolInfo | リソースプール情報を照会します。 |
oss:ListResourcePoolBuckets | ListResourcePoolBuckets | リソースプール内のバケットを一覧表示します。 |
oss:PutResourcePoolRequesterQoSInfo | PutResourcePoolRequesterQoSInfo | リソースプールのリクエスターベースのスロットリングを構成します。 |
oss:GetResourcePoolRequesterQoSInfo | GetResourcePoolRequesterQoSInfo | リソースプールのリクエスターベースのスロットリング構成を照会します。 |
oss:ListResourcePoolRequesterQoSInfos | ListResourcePoolRequesterQoSInfos | リソースプールのリクエスターベースのスロットリング構成を一覧表示します。 |
oss:DeleteResourcePoolRequesterQoSInfo | リソースプール リクエスタ QoS 情報の削除 | リソースプールのリクエスターベースのスロットリング構成を削除します。 |
OSS の RAM 権限付与の詳細については、「RAM ポリシーを使用した OSS へのアクセスの承認」をご参照ください。
リソースグループをサポートしないリソースタイプの場合、リソースグループレベルで権限を付与することはできません。権限を付与するには、カスタムポリシーを作成し、リソース範囲を [アカウントレベル] に設定する必要があります。
次のコードは、カスタムポリシーの 2 つの例を示しています。必要に応じてポリシーを変更できます。
リソースグループレベルの権限付与をサポートしない読み取り専用操作を許可します。
Action要素には、リソースグループレベルの権限付与をサポートしないすべての読み取り専用操作がリストされます。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:DescribeRegions", "oss:ListUserDataRedundancyTransition", "oss:GetPublicAccessBlock", "oss:GetUserAntiDDosInfo", "oss:ListBucketAntiDDosInfo", "oss:ListResourcePools", "oss:GetResourcePoolInfo", "oss:ListResourcePoolBuckets", "oss:GetResourcePoolRequesterQoSInfo", "oss:ListResourcePoolRequesterQoSInfos" ], "Resource": "*" } ] }リソースグループレベルの権限付与をサポートしないすべての操作を許可します。
Action要素には、リソースグループレベルの権限付与をサポートしないすべての操作がリストされます。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:DescribeRegions", "oss:ListUserDataRedundancyTransition", "oss:PutPublicAccessBlock", "oss:GetPublicAccessBlock", "oss:DeletePublicAccessBlock", "oss:InitUserAntiDDosInfo", "oss:UpdateUserAntiDDosInfo", "oss:GetUserAntiDDosInfo", "oss:InitBucketAntiDosInfo", "oss:UpdateBucketAntiDDosInfo", "oss:ListBucketAntiDDosInfo", "oss:ListResourcePools", "oss:GetResourcePoolInfo", "oss:ListResourcePoolBuckets", "oss:PutResourcePoolRequesterQoSInfo", "oss:GetResourcePoolRequesterQoSInfo", "oss:ListResourcePoolRequesterQoSInfos", "oss:DeleteResourcePoolRequesterQoSInfo" ], "Resource": "*" } ] }
アカウントレベルの権限を付与された RAM ユーザーまたは RAM ロールは、アカウント全体内のすべての関連リソースを操作できます。付与された権限がセキュリティ要件に適合していることを確認してください。PoLP に従い、注意して権限を付与してください。