OSS (Object Storage Service) リソースをより効率的に管理するには、リソースグループを使用してリソースをグループに分類し、リソースグループを管理します。 リソースグループを使用すると、リソースを部門、プロジェクト、および環境ごとにグループに分類し、リソースアクセス管理 (RAM) を使用して、単一のAlibaba Cloudアカウント内でリソースを分離し、リソース権限をきめ細かく管理できます。 このトピックでは、リソースグループに対するOSSのサポート、およびOSSリソースをグループにソートしてリソースグループを承認する方法について説明します。
用語
リソースグループ
リソースグループを使用すると、Alibaba Cloudアカウントが所有するリソースをグループに分類できます。 これにより、Alibaba Cloudアカウント内でのリソースのグループ化、権限管理、およびコストの割り当てが簡素化されます。 たとえば、プロジェクトごとにリソースグループを作成し、プロジェクトで使用されているリソースをプロジェクトに対応するグループに転送できます。 これにより、プロジェクトのリソースを一元管理できます。 詳細については、「リソースグループとは およびリソースグループの設計に関するベストプラクティス」をご参照ください。。
リソースグループレベルの権限付与
リソースをグループに並べ替えた後、RAMを使用して、RAMユーザー、RAMユーザーグループ、またはRAMロールに特定のリソースグループに対する権限を付与できます。 これにより、許可されたRAMユーザー、RAMユーザーグループ、またはRAMロールが管理できるリソースは、指定されたリソースグループ内のリソースに制限されます。 この承認方法は、優れた拡張性を有する。 後でリソースを追加する場合は、指定したポリシーを変更せずに、対応するリソースグループにリソースを追加するだけで済みます。 詳細については、「リソースをリソースグループに分類し、リソースグループに対する権限を付与する」をご参照ください。
リソースグループレベルの権限付与の手順
次の例では、RAMユーザーに特定のリソースグループ内のOSSリソースを管理する権限を付与する方法について説明します。
RAM コンソールにログインして、RAM ユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
リソース管理コンソールにログインし、[リソースグループ] ページに移動してリソースグループを作成します。
詳細については、「リソースグループの作成」をご参照ください。
リソースをリソースグループにソートします。
リソースを作成する场合は, リソースが属するリソースグループを指定します。
既存のリソースを使用する場合は、対応するリソースグループにリソースを転送します。 詳細については、「リソースグループ間の手動リソース転送の実行」をご参照ください。
RAMコンソールにログインし、カスタムポリシーを作成します。
作成されたカスタムポリシーには、RAMユーザーが必要とする操作権限が含まれている必要があります。詳細については、「カスタムポリシーの作成」をご参照ください。 RAMユーザーにシステムポリシーをアタッチする場合は、この手順をスキップしてください。
重要実際のビジネス環境では、最小権限の原則に基づいて、RAMユーザーに必要な権限のみを付与することをお勧めします。 これにより、過剰なユーザー権限によるセキュリティリスクを防ぎます。
カスタムポリシーの例:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:GetObject", "oss:PutObject", ], "Resource": "*" } ] }有効範囲がリソースグループであるカスタムポリシーをRAMユーザーにアタッチします。
次のいずれかの方法を使用して、RAMユーザーに権限を付与できます。
リソース管理コンソールにログインし、[リソースグループ] ページでリソースグループを選択します。 詳細については、「RAM権限の追加」をご参照ください。
RAMコンソールにログインし、[権限付与] パネルで [リソーススコープ] パラメーターを [ResourceGroup] に設定します。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
リソースグループ権限付与は、リソースグループをサポートするリソースタイプに対してのみ有効です。 リソースグループをサポートしていないリソースタイプの場合、リソースグループに付与されている権限は有効になりません。 リソーススコープを選択したら、アカウントレベルの権限付与のアカウントレベルを選択します。 詳細については、「リソースグループレベルの権限付与をサポートしていないアクション」をご参照ください。
リソースグループをサポートするリソースタイプ
次の表に、OSSでリソースグループをサポートするリソースタイプを示します。
サービス名 | サービスコード | リソースタイプ |
OSS | oss | バケット |
リソースグループをサポートしないリソースタイプの要件がある場合は、 チケットを起票してください。
リソースグループレベルの権限付与をサポートしないアクション
次の表に、OSSでリソースグループレベルの権限付与をサポートしていないアクションと、そのアクションに対応するAPIを示します。
Action | API | APIの説明 |
oss:DescribeRegions | DescribeRegions | サポートされているすべてのリージョンまたは特定のリージョンのエンドポイントを照会します。 |
oss:ListUserDataRedundancyTransition | ListUserDataRedundancyTransition | リクエスタのすべての冗長タイプ変更タスクを一覧表示します。 |
oss:PutPublicAccessBlock | PutPublicAccessBlock | OSSリソースに対するパブリックアクセスのブロックを有効にします。 |
oss:GetPublicAccessBlock | GetPublicAccessBlock | OSSリソースのブロックパブリックアクセス設定を照会します。 |
oss:DeletePutblicAccessBlock | DeletePublicAccessBlock | OSSリソースのブロックパブリックアクセス設定を削除します。 |
oss:InitUserAntiDDosInfo | InitUserAntiDDosInfo | Anti-DDoSインスタンスを作成します。 |
oss:UpdateUserAntiDDosInfo | UpdateUserAntiDDosInfo | Anti-DDoSインスタンスのステータスを変更します。 |
oss:GetUserAntiDDosInfo | GetUserAntiDDosInfo | 特定のAlibaba Cloudアカウントに属するAnti-DDoSインスタンスに関する情報を照会します。 |
oss:InitBucketAntiDosInfo | InitBucketAntiDosInfo | バケットのAnti-DDoSインスタンスを初期化します。 |
oss:UpdateBucketAntiDDosInfo | UpdateBucketAntiDDosInfo | バケットのAnti-DDoSインスタンスのステータスを更新します。 |
oss:ListBucketAntiDDosInfo | ListBucketAntiDDosInfo | バケットのAnti-DDoSインスタンスの保護リストを照会します。 |
oss:ListResourcePools | ListResourcePools | 現在のAlibaba Cloudアカウントのリソースプールを一覧表示します。 |
oss:GetResourcePoolInfo | GetResourcePoolInfo | リソースプールに関する情報を照会します。 |
oss:ListResourcePoolBuckets | ListResourcePoolBuckets | リソースプール内のバケットを一覧表示します。 |
oss:PutResourcePoolRequesterQoSInfo | PutResourcePoolRequesterQoSInfo | リソースプール内のリクエスタのスロットリングを設定します。 |
oss:GetResourcePoolRequesterQoSInfo | GetResourcePoolRequesterQoSInfo | リソースプール内のリクエスタのスロットリング構成を照会します。 |
oss:ListResourcePoolRequesterQoSInfos | ListResourcePoolRequesterQoSInfos | リソースプール内のすべてのリクエスタのスロットリング構成を一覧表示します。 |
oss:DeleteResourcePoolRequesterQoSInfo | DeleteResourcePoolRequesterQoSInfo | リソースプール内のリクエスタのスロット設定を削除します。 |
詳細については、「RAMポリシー」をご参照ください。
リソースグループをサポートしていないリソースタイプの場合、リソースグループに付与されている権限は有効になりません。 RAMコンソールでカスタムポリシーを作成し、Resource ScopeパラメーターをAccountに設定する必要があります。
次のサンプルコードは、2つのカスタムポリシーを示します。 要件に基づいてポリシーコンテンツを変更できます。
次のカスタムポリシーでは、リソースグループレベルの権限付与をサポートしない読み取り専用操作が許可されています。 カスタムポリシーの
[アクション]フィールドには、リソースグループレベルの権限付与をサポートしないすべての読み取り専用操作が含まれます。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:DescribeRegions", "oss:ListUserDataRedundancyTransition", "oss:GetPublicAccessBlock", "oss:GetUserAntiDDosInfo", "oss:ListBucketAntiDDosInfo", "oss:ListResourcePools", "oss:GetResourcePoolInfo", "oss:ListResourcePoolBuckets", "oss:GetResourcePoolRequesterQoSInfo", "oss:ListResourcePoolRequesterQoSInfos", ], "Resource": "*" } ] }次のカスタムポリシーでは、リソースグループレベルの権限付与をサポートしないすべての操作が許可されます。 カスタムポリシーの
[アクション]フィールドには、リソースグループレベルの権限付与をサポートしないすべての操作が含まれます。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:DescribeRegions", "oss:ListUserDataRedundancyTransition", "oss:PutPublicAccessBlock", "oss:GetPublicAccessBlock", "oss:DeletePutblicAccessBlock", "oss:InitUserAntiDDosInfo", "oss:UpdateUserAntiDDosInfo", "oss:GetUserAntiDDosInfo", "oss:InitBucketAntiDosInfo", "oss:UpdateBucketAntiDDosInfo", "oss:ListBucketAntiDDosInfo", "oss:ListResourcePools", "oss:GetResourcePoolInfo", "oss:ListResourcePoolBuckets", "oss:PutResourcePoolRequesterQoSInfo", "oss:GetResourcePoolRequesterQoSInfo", "oss:ListResourcePoolRequesterQoSInfos", "oss:DeleteResourcePoolRequesterQoSInfo", ], "Resource": "*" } ] }
アカウントレベルの権限を持つRAMユーザーまたはRAMロールは、Alibaba Cloudアカウントが所有するすべてのリソースを管理できます。 RAMユーザーまたはRAMロールに付与する権限が期待どおりであることを確認し、最小権限の原則に従ってください。